Персональные данные миллионов пользователей AliExpress оказалась под угрозой
Уязвимость на сайте позволяет с легкостью получить персональную информацию пользователя даже без знания его учетных данных.
На сайте популярной торговой площадки AliExpress обнаружена критическая уязвимость , затрагивающая миллионы пользователей по всему миру. Как сообщило издание The Hacker News со ссылкой на израильского ИБ-эксперта Амитая Дана (Amitay Dan), эксплуатация бреши позволяет получать доступ к персональной информации пользователей.
Дан представил видео, демонстрирующее, как с помощью URL-адреса http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456 авторизованный на сайте AliExpress пользователь может добавлять или обновлять адрес доставки товаров и контактный номер телефона. При этом 123456 – это ID авторизованного пользователя.
По словам эксперта, всего лишь изменив значение mailingAddressId, злоумышленник может с легкостью проэксплуатировать брешь в системе проверки на сайте. В результате на этой же странице отобразится контактная информация соответствующего пользователя. Атакующий может собрать личные данные миллионов пользователей AliExpress, используя скрипт для автоматического подбора чисел от 1 до 99999999999 в качестве значения ID на странице mailingAddress.htm.