Персональные данные миллионов пользователей AliExpress оказалась под угрозой

Персональные данные миллионов пользователей AliExpress оказалась под угрозой

Уязвимость на сайте позволяет с легкостью получить персональную информацию пользователя даже без знания его учетных данных.

На сайте популярной торговой площадки AliExpress обнаружена критическая уязвимость, затрагивающая миллионы пользователей по всему миру. Как сообщило издание The Hacker News со ссылкой на израильского ИБ-эксперта Амитая Дана (Amitay Dan), эксплуатация бреши позволяет получать доступ к персональной информации пользователей.

Дан представил видео, демонстрирующее, как с помощью URL-адреса http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456 авторизованный на сайте AliExpress пользователь может добавлять или обновлять адрес доставки товаров и контактный номер телефона. При этом 123456 – это ID авторизованного пользователя.

По словам эксперта, всего лишь изменив значение mailingAddressId, злоумышленник может с легкостью проэксплуатировать брешь в системе проверки на сайте. В результате на этой же странице отобразится контактная информация соответствующего пользователя. Атакующий может собрать личные данные миллионов пользователей AliExpress, используя скрипт для автоматического подбора чисел от 1 до 99999999999 в качестве значения ID на странице mailingAddress.htm.       

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!