Η ομάδα του Alibaba, επιδιόρθωσε ένα σοβαρό θέμα ασφαλείας σε ένα από τα portal ηλεκτρονικού εμπορίου, που εξέθεσε στοιχεία λογαριασμών χιλιάδες εμπόρων και αγοραστών σε εγκληματίες του κυβερνοχώρου.
Μια Ισραηλινή εταιρεία ασφαλείας, η AppSec Labs, βρήκε μια Cross site scripting (XSS) ευπάθεια στο AliExpress, στην αγγλική έκδοση του site της εταιρείας e-commerce, το οποίο βρέθηκε ευάλωτο σε παρόμοια κενά ασφαλείας πριν από μία εβδομάδα, βάζοντας σε κίνδυνο τα προσωπικά στοιχεία των πελατών της Alibaba. Το πρόβλημα διορθώθηκε αμέσως μετά τη κοινοποίηση του στην εταιρεία, από τη Cybermoon.
H AliExpress, είναι μια ηλεκτρονική αγορά που ανήκει στο γίγαντα του κινεζικού ηλεκτρονικού εμπορίου, Alibaba.com, επίσης γνωστό και ως Google της Κίνας. Η εταιρεία εξυπηρετεί πάνω από 300 εκατομμύρια ενεργούς χρήστες, από περισσότερες από 200 χώρες, συμπεριλαμβανομένων των ΗΠΑ, Ρωσία και Βραζιλία. Η κρίσιμη ευπάθεια που βρέθηκε από τον ερευνητή, θα μπορούσε να επιτρέψει σε έναν εισβολέα να εισβάλει στο λογαριασμό κάθε εμπόρου.
Οποιοσδήποτε εισβολέας θα μπορούσε να βάλει οποιοδήποτε payload script ως μεταβλητή στο μήνυμα, και όταν ο πωλητής θα πήγαινε στο κέντρο μήνυματων στην ιστοσελίδα AliExpress, χρησιμοποιώντας το λογαριασμό του, το κακόβουλο script, θα έτρεχε στον browser του χρήστη. Επίσης θα μπορούσε να εκτελέσει ενέργειες εκ μέρους του πωλητή, επιθέσεις τύπου phishing, να κλέψει αναγνωριστικά στοιχεία του θύματος, κλπ.
Η ευπάθεια ανακαλύφθηκε από τον Barak Tawily, 21 χρονών, ερευνητή εφαρμογών ασφαλείας, στο AppSec Labs. Αξιοποιώντας την ευπάθεια αυτή, μπόρεσε να αλλάξει τις τιμές των προϊόντων, να διαγράψει εμπορεύματα, και ακόμη και να κλείσει το κατάστημα του εμπόρου στην ιστοσελίδα, χωρίς φυσικά ο τελευταίος να γνωρίζει τίποτα.
