AliExpress, el gigante chino de las
ventas por Internet, a lo largo de este fin de semana pasado se ha descubierto
un fallo de seguridad crítico y muy sencillo de explotar que ha afectado a los
millones de usuarios de la página web a lo largo de todo el mundo.
Este fallo
de seguridad ha permitido a los usuarios malintencionados robar información de
cientos de personas en cuestión de segundos sin la necesidad de disponer de su
contraseña para ello.
La
vulnerabilidad de AliExpress permitía acceder al número de cliente y a los
datos de envío desde una sencilla URL sin hacer uso de las cookies del usuario
y sin solicitar la contraseña para ello simplemente cambiando un parámetro de
la URL.
El
parámetro “mailingAddressId” está asociado a un usuario en concreto y, el uso
del mismo, no comprueba ni las cookies de sesión ni solicita la contraseña de
acceso. De esta manera los usuarios malintencionados pueden cambiar este valor
para acceder a las direcciones de envío de toda la cartera de clientes de
AliExpress fácilmente y sin dejar rastro.
Con
un sencillo script cualquier pirata informático podría haber descargado una
base de datos completa de la tienda online simplemente añadiendo una variable a
la URL vulnerable de AliExpress que analizara todos los resultados de dicha
variable entre 1 y 999999999 asignado al parámetro “mailingAddressId”.
AliExpress
es una tienda online perteneciente al gigante Alibaba.com con más de 300
millones de usuarios activos a lo largo de más de 200 países, entre ellos
España, donde se pueden comprar tanto artículos individuales como por lotes
para ahorrar aún más en gastos. Con un mercado tan amplio los riesgos potenciales
de la vulnerabilidad han sido considerables y, aunque se han confirmado
“únicamente” cientos de datos personales robados, podrían haber sido millones
sin que nadie lo sepa con seguridad.
Fuente:
The Hacker News