Fonsec@
In Memoriam
- Entrou
- Set 22, 2006
- Mensagens
- 29,306
- Gostos Recebidos
- 6
Alibaba Group corrigiu uma vulnerabilidade de segurança num dos seus portais de e-commerce que expuseram detalhes das contas de dezenas de milhões de comerciantes e compradores.
Uma empresa de segurança israelita, AppSec Labs, encontrou uma vulnerabilidade Cross site scripting (XSS) no AliExpress, o site em Inglês e-commerce da empresa. Uma semana atrás foi encontrada uma falha semelhante que comprometeu informações pessoais dos clientes Alibaba. A falha foi fixado logo após a empresa de segurança Cybermoon a divulgou ao Alibaba.
AliExpress é um mercado online de propriedade chinesa do gigante Alibaba.com, também conhecido como Google da China. A empresa atende a mais de 300 milhões de usuários ativos de mais de 200 países, incluindo os EUA, Rússia e Brasil. Esta vulnerabilidade crítica encontrada pelos pesquisadores poderia permitir que um ataque roubasse as contas de comerciantes.
Usando vulnerabilidade XSS do AliExpress um atacante pode injetar um script com carga maliciosa como valor para o parâmetro de mensagem, e quando o vendedor navegasse para o centro de mensagens no site AliExpress usando sua conta, o script malicioso seria executado no seu browser. XSS Payload pode gerar vários tipos de ataques como executar ações em nome de um vendedor, ataques de phishing, roubar sessões de identificação da vítima, etc.
A vulnerabilidade foi descoberta por Barak Tawily de 21 anos, um pesquisador de segurança de Aplicação na AppSec Labs. A exploração da vulnerabilidade permitiu-lhe alterar os preços dos produtos, excluir bens, e até mesmo fechar a loja do comerciante no site.
Barak também forneceu um (PoC) video Proof-of-Concept para The Hacker News através de um email, explicando o ataque na íntegra o site AliExpress, que pode ver abaixo:
A vulnerabilidade já foi corrigida pela empresa e que está a avisar os clientes para actualizar as contas imediatamente.
Resposta do Alibaba
"Estamos cientes do problema e tomamos medidas imediatas para avaliar e corrigir a situação", disse Candice Huang, gerente de Assuntos Corporativos Internacionais para Alibaba Group. "Já fechamos a potencial vulnerabilidade e vamos continuar a acompanhar de perto a situação. A segurança e privacidade de nossos clientes é a nossa maior prioridade e vamos fazer tudo o que pudermos para continuar a assegurar um ambiente de negociação seguro nas nossas plataformas."
Edição: Fonsec@
Uma empresa de segurança israelita, AppSec Labs, encontrou uma vulnerabilidade Cross site scripting (XSS) no AliExpress, o site em Inglês e-commerce da empresa. Uma semana atrás foi encontrada uma falha semelhante que comprometeu informações pessoais dos clientes Alibaba. A falha foi fixado logo após a empresa de segurança Cybermoon a divulgou ao Alibaba.
AliExpress é um mercado online de propriedade chinesa do gigante Alibaba.com, também conhecido como Google da China. A empresa atende a mais de 300 milhões de usuários ativos de mais de 200 países, incluindo os EUA, Rússia e Brasil. Esta vulnerabilidade crítica encontrada pelos pesquisadores poderia permitir que um ataque roubasse as contas de comerciantes.
Usando vulnerabilidade XSS do AliExpress um atacante pode injetar um script com carga maliciosa como valor para o parâmetro de mensagem, e quando o vendedor navegasse para o centro de mensagens no site AliExpress usando sua conta, o script malicioso seria executado no seu browser. XSS Payload pode gerar vários tipos de ataques como executar ações em nome de um vendedor, ataques de phishing, roubar sessões de identificação da vítima, etc.
A vulnerabilidade foi descoberta por Barak Tawily de 21 anos, um pesquisador de segurança de Aplicação na AppSec Labs. A exploração da vulnerabilidade permitiu-lhe alterar os preços dos produtos, excluir bens, e até mesmo fechar a loja do comerciante no site.
Barak também forneceu um (PoC) video Proof-of-Concept para The Hacker News através de um email, explicando o ataque na íntegra o site AliExpress, que pode ver abaixo:
A vulnerabilidade já foi corrigida pela empresa e que está a avisar os clientes para actualizar as contas imediatamente.
Resposta do Alibaba
"Estamos cientes do problema e tomamos medidas imediatas para avaliar e corrigir a situação", disse Candice Huang, gerente de Assuntos Corporativos Internacionais para Alibaba Group. "Já fechamos a potencial vulnerabilidade e vamos continuar a acompanhar de perto a situação. A segurança e privacidade de nossos clientes é a nossa maior prioridade e vamos fazer tudo o que pudermos para continuar a assegurar um ambiente de negociação seguro nas nossas plataformas."
Edição: Fonsec@
TheHackerNews