elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Java [Guía] Patrones de diseño - Parte 1


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderador: wolfbcn)
| | | |-+  ¿Compras en AliExpress? Tu cuenta podía haber sido robada
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Compras en AliExpress? Tu cuenta podía haber sido robada  (Leído 523 veces)
wolfbcn
Moderador Global
***
Desconectado Desconectado

Mensajes: 45.923



Ver Perfil WWW
¿Compras en AliExpress? Tu cuenta podía haber sido robada
« en: 9 Diciembre 2014, 18:40 »

AliExpress es considerada “la puerta a China”, en cuanto al comercio por Internet. Gracias a su plataforma tenemos acceso directo a miles de tiendas, más grandes y más pequeñas, en las que podemos encontrar todo tipo de productos económicos originales y cientos de imitaciones de reconocidos productos. Es el Alibaba para los minoristas, y sí, de los mismos dueños. Recientemente, su seguridad se ha visto gravemente comprometida.

Este fin de semana ha sido descubierto, en AliExpress, un grave fallo de seguridad que permite, con excesiva facilidad, robar información confindencial -como datos bancarios- de los usuarios que compran a través de su soporte. El problema está en que el fallo de seguridad que nos ocupa, a pesar de lo conocido que es AliExpress y la cantidad de usuarios que lo utilizan a diario, ha dejado en evidencia lo simple que es acceder a los datos privados de los usuarios. Y es que, aunque AliExpress no almacena datos bancarios, acceder a ellos ha sido realmente fácil, incluso sin tener la contraseña de los usuarios afectados.

Dado el sistema inseguro utilizado por AliExpress, el fallo de seguridad ha permitido acceder al número de cliente y sus datos de envío con tan solo una URL, sin necesidad de tener las cookies de usuario y, por otra parte, sin que AliExpress solicitase la contraseña, sino que sólo ha sido necesario modificar un simple parámetro de la URL “original”. Según una URL con parámetro “mailingadress”, nos encontramos con que la terminación “mailingAdressId” está directamente asociada a un usuario único y la utilización de la URL se puede llevar a cabo sin la comprobación de cookies de sesión ni la solicitud de contraseña de acceso.

De esta forma, con ese tipo de URL y modificando únicamente el último parámetro, los usuarios malintencionados han podido acceder absolutamente a todas las cuentas de usuario y tomar los datos que allí aparecen, puesto que sólo era necesario introducir un valor entre 1 y 999999999 para la configuración de una URL como la siguiente:

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

El alcance de AliExpress se extiende a lo largo de más de 200 países con más de 300 millones de usuarios activos, lo que quiere decir que este tipo de problemas de seguridad, sin duda, dejan en muy mal lugar al comercio electrónico minorista de Alibaba. En cualquier caso, por suerte ya ha sido solucionado el problema.

http://www.adslzone.net/2014/12/09/compras-en-aliexpress-tu-cuenta-podia-haber-sido-robada/


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
a los que no creian que podia haber un host maravilla « 1 2 »
Desarrollo Web
svartahrid 10 1,540 Último mensaje 3 Marzo 2006, 16:02
por SmopuiM
Cuenta de hotmail robada « 1 2 »
Chats; IRC y Messengers
Manri 13 4,887 Último mensaje 27 Julio 2007, 15:43
por Scratz
Recuperar mi cuenta hotmail robada
Dudas Generales
piglemanta 4 18,459 Último mensaje 30 Julio 2010, 22:17
por mateo777
AYUDA POR FAVOR CUENTA ROBADA
Chats; IRC y Messengers
noname58 8 5,785 Último mensaje 13 Diciembre 2012, 20:05
por viktorioiq
Cuenta hotmail robada
Chats; IRC y Messengers
Erine 5 3,873 Último mensaje 2 Febrero 2013, 17:06
por alister
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines