Faille de sécurité chez AliExpress : 100 millions de clients impactés
Une faille de sécurité dans le site e-marchant AliExpress vient d’être découverte. La filiale du groupe AliBaba possède plus de 100 millions de clients et affiche 23 milliards de dollars de revenu.
La faille de sécurité (vulnérabilité) découverte permet aux pirates de cibler les utilisateurs d’AliExpress en leur envoyant un mail de phishing avec un lien vers une page AliExpress contenant un code malicieux Javascript. Quand la personne ouvre la page, le code s’exécute dans le moteur de recherche, et contourne les protections contre les attaques du type « cross-site scripting » (XSS), en utilisant une vulnérabilité dite « open redirect ».
Une fois sur la page malicieuse, l’utilisateur ne se rend compte de rien et continue de faire son shopping. Le pirate va ensuite déclencher une fenêtre pop-up. Elle peut offrir une réduction. Ou comme je peux vous le montrer très souvent, lancer une fausse page.
AliExpress, ayant une approche très sérieuse de la cybersécurité, a mis deux jours à patcher cette vulnérabilité. Un exemple a suivre pour les autres retailers. (CheckPoints)
Oui c’est vrai .maintenant j’ai peur de commander.
je me suis fait pirater mon compte chez eux le premier janvier ils ont mis une semaine à me restituer mon compte le problème c’est qu’entre temps les hackers russe ont demandés aux vendeurs de modifier l’adresse de livraison.
Et même en leur apportant toutes les preuves il ne me rembourse pas… donc attention à vous il n’y a aucun sav,pas de telephone, aucune garantie acheteur.