AliExpress expone la información privada de sus usuarios

AliExpress es un e-Commerce propiedad de Alibaba que tiene más de 300 millones de usuarios en más de 200 países y permite la venta de productos al por menor al precio de distribuidor, una gran ventaja en los precios.

Sin embargo, Amitay Dan, un investigador de seguridad de Cybermoon, informó de la vulnerabilidad al equipo de AliExpress y los medios de comunicación. Para confirmar la existencia de la vulnerabilidad ha presentado una prueba en forma de video en el que se aprecia el funcionamiento del mismo.

El resumen rápido es que entras en tu cuenta de usuario, vas a modificar la dirección de envío y colocas un número entre el 1 y el 99999999999 y así tienes acceso a la dirección de envío y teléfonos del usuario que coincide con este número.

Funcionamiento

AliExpress solicita iniciar sesión del usuario para agregar o actualizar su dirección de envío y un número de contacto en la siguiente URL; http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

En esta dirección "123456" es el ID de usuario del usuario conectado. 

AliExpress expone la información privada de sus usuarios

El investigador se dio cuenta de que cambiando el valor del parámetro "mailingAddressId" a un valor diferente, se podría explotar el error de validación de la página web y se podría ver la dirección postal y la información del usuario en la misma página web.

Usos

Un atacante puede recoger información personal de los millones de usuarios de AliExpress usando un script automatizado para rastrear el "mailingAddress.htm" en todos los números posibles entre el 1 y el 99999999999 como valor del parámetro ”mailingAddressId”.

La vulnerabilidad se ha reportado al equipo de AliExpress y se espera que sea reparado en breve ya que en las fechas en las que estamos se espera un incremento de un 70 por ciento de las ventas.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?