Vulnerabilidade no site do AliExpress exp├Áe dados pessoais dos usu├írios

Ali Express

Uma vulnerabilidade de privacidade cr├ştica, mas facilmente explor├ível, foi descoberta no popular mercado online AliExpress e afeta milh├Áes de usu├írios em todo o mundo.

A vulnerabilidade relatada pode permitir que um invasor roube as informa├ž├Áes pessoais de centenas de milh├Áes de usu├írios do AliExpress sem saber as senhas de suas contas.

O AliExpress ├ę um mercado on-line de propriedade do gigante chin├¬s do com├ęrcio eletr├┤nico Alibaba.com, que oferece a mais de 300 milh├Áes de usu├írios ativos de mais de 200 pa├şses e regi├Áes a capacidade de encomendar produtos em massa ou uma vez a pre├žos baixos no atacado. .

Amitay Dan, pesquisador israelense de seguran├ža de aplicativos que trabalha no Cybermoon.cc, disse ao The Hacker News ap├│s a revela├ž├úo da falha de seguran├ža na equipe do AliExpress e na m├şdia israelense.

De acordo com os v├şdeos e as capturas de tela da Prova de conceito enviados pelo pesquisador de seguran├ža ao The Hacker News, o AliExpress permite que o usu├írio conectado adicione / atualize seu endere├žo e n├║mero de telefone de contato no seguinte URL:

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

onde “123456” ├ę o ID do usu├írio conectado. O pesquisador observou que, simplesmente alterando o valor do par├ómetro “mailingAddressId”, pode-se tirar vantagem da brecha de seguran├ža na valida├ž├úo do site, para que o endere├žo de correspond├¬ncia e os detalhes de contato de cada usu├írio apare├žam na mesma p├ígina, conforme mostrado na captura de tela relevante. :

AliExpress2Assim, um invasor pode coletar informa├ž├Áes pessoais de milh├Áes de usu├írios do AliExpress usando um script automatizado para testar na p├ígina mailingAddress.htm todos os n├║meros poss├şveis entre 1 – 99999999999 no valor mailingAddressId do par├ómetro.

O pesquisador de seguran├ža disse que a vulnerabilidade havia sido relatada ├á equipe do AliExpress e seria corrigida em breve.