Lỗ hổng trên AliExpress làm lộ thông tin người dùng

Một lỗ hổng nghiêm trọng nhưng đơn giản đang khai thác thông tin cá nhân của hàng triệu khách hàng trên thế giới thường xuyên mua sắm online trên trang web AliExpress. Lỗ hổng này có thể cho phép bất cứ ai đánh cắp thông tin cá nhân của hàng trăm triệu người dùng AliExpress mà không cần phải biết mật khẩu hay tài khoản.

AliExpress là kênh mua sắm trực tuyến thuộc sở hữu của Alibaba.com – một thương hiệu lớn trong lĩnh vực kinh doanh trên mạng tại Trung Quốc, với hơn 300 triệu người dùng tại hơn 200 quốc gia và khu vực. Khách hàng của họ thường xuyên đặt hàng số lượng lớn hoặc mua lẻ với giá bán buôn.

Amitay Dan, một nhà nghiên cứu bảo mật ứng dụng người Israel làm việc tại Cybermoon.cc đã phát hiện, báo cáo lỗ hổng cho AliExpress; đồng thời cung cấp một video bằng chứng cho các phương tiện truyền thông.

Theo video và ảnh chụp màn hình được cung cấp, AliExpress cho phép người dùng đăng nhập để thêm/ cập nhật địa chỉ nhận giao hàng của họ và số liên lạc tại địa chỉ URL: http:// trade.aliexpress.com/mailingaddress/mailingAddress.htm ?mailingAddressId = 123456

Đuôi “123456” là id của người dùng đăng nhập. Nhà nghiên cứu nhận thấy rằng chỉ cần thay đổi giá trị của tham số “mailingAddressId” sang một giá trị khác thì có thể dễ dàng khai thác lỗ hổng. Trang web sẽ xác nhận để hiển thị các địa chỉ gửi thư và thông tin của người sử dụng tương ứng trên cùng một trang web.

Một kẻ tấn công thông minh có thể thu thập thông tin cá nhân của hàng triệu người dùng AliExpress chỉ bằng cách sử dụng tất cả các số có thể có từ 1 đến 99999999999 như giá trị tham số “mailingAddressId” và thêm vào trang “mailingAddress.htm”.

AliExpress đang nhanh chóng tìm cách khắc phục lỗi và lỗ hổng sẽ sớm được vá trong thời gian tới.

Theo THN