elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  ¿Compras en AliExpress? Tu cuenta podía haber sido robada
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Compras en AliExpress? Tu cuenta podía haber sido robada  (Leído 1,473 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
¿Compras en AliExpress? Tu cuenta podía haber sido robada
« en: 9 Diciembre 2014, 18:40 pm »

AliExpress es considerada “la puerta a China”, en cuanto al comercio por Internet. Gracias a su plataforma tenemos acceso directo a miles de tiendas, más grandes y más pequeñas, en las que podemos encontrar todo tipo de productos económicos originales y cientos de imitaciones de reconocidos productos. Es el Alibaba para los minoristas, y sí, de los mismos dueños. Recientemente, su seguridad se ha visto gravemente comprometida.

Este fin de semana ha sido descubierto, en AliExpress, un grave fallo de seguridad que permite, con excesiva facilidad, robar información confindencial -como datos bancarios- de los usuarios que compran a través de su soporte. El problema está en que el fallo de seguridad que nos ocupa, a pesar de lo conocido que es AliExpress y la cantidad de usuarios que lo utilizan a diario, ha dejado en evidencia lo simple que es acceder a los datos privados de los usuarios. Y es que, aunque AliExpress no almacena datos bancarios, acceder a ellos ha sido realmente fácil, incluso sin tener la contraseña de los usuarios afectados.

Dado el sistema inseguro utilizado por AliExpress, el fallo de seguridad ha permitido acceder al número de cliente y sus datos de envío con tan solo una URL, sin necesidad de tener las cookies de usuario y, por otra parte, sin que AliExpress solicitase la contraseña, sino que sólo ha sido necesario modificar un simple parámetro de la URL “original”. Según una URL con parámetro “mailingadress”, nos encontramos con que la terminación “mailingAdressId” está directamente asociada a un usuario único y la utilización de la URL se puede llevar a cabo sin la comprobación de cookies de sesión ni la solicitud de contraseña de acceso.

De esta forma, con ese tipo de URL y modificando únicamente el último parámetro, los usuarios malintencionados han podido acceder absolutamente a todas las cuentas de usuario y tomar los datos que allí aparecen, puesto que sólo era necesario introducir un valor entre 1 y 999999999 para la configuración de una URL como la siguiente:

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

El alcance de AliExpress se extiende a lo largo de más de 200 países con más de 300 millones de usuarios activos, lo que quiere decir que este tipo de problemas de seguridad, sin duda, dejan en muy mal lugar al comercio electrónico minorista de Alibaba. En cualquier caso, por suerte ya ha sido solucionado el problema.

http://www.adslzone.net/2014/12/09/compras-en-aliexpress-tu-cuenta-podia-haber-sido-robada/


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recuperar mi cuenta hotmail robada
Dudas Generales
piglemanta 4 21,094 Último mensaje 30 Julio 2010, 22:17 pm
por mateo777
Como recuperar cuenta de hotmail robada,...
Mensajería
emerrod 1 15,418 Último mensaje 11 Agosto 2010, 20:47 pm
por Silici0
Ese podría haber sido yo…
Foro Libre
peib0l 7 3,322 Último mensaje 14 Septiembre 2011, 15:56 pm
por flacc
AYUDA POR FAVOR CUENTA ROBADA
Mensajería
noname58 8 8,525 Último mensaje 13 Diciembre 2012, 20:05 pm
por viktorioiq
Cuenta hotmail robada
Mensajería
Erine 5 6,119 Último mensaje 2 Febrero 2013, 17:06 pm
por alister
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines