Hàng triệu người mua sắm trên AliExpress tiếp tục gặp phải rủi ro lớn

Capture

Alibaba Group đã vá một lỗ hổng bảo mật lớn cho một trong những cổng thông tin thương mại điện tử của mình. Lỗ hổng trên đã tiếp xúc với thông tin tài khoản chi tiết của hàng chục triệu người bán lẻ và người mua sắm để cung cấp cho bọn tội phạm mạng.

Công ty bảo mật ứng dụng AppSec Labs của Israel đã tìm thấy một lỗ hổng Cross site scripting (XSS) trong AliExpress, trang web thương mại điện tử bằng tiếng Anh của công ty cũng chứa một lỗ hổng tương tự khoảng một tuần trước đó và thông tin cá nhân khách hàng của Alibaba bị xâm nhập. Ngay sau đó, lỗ hổng này đã nhanh chóng được sửa chữa.

AliExpress là một chợ trực tuyến thuộc sở hữu của Alibaba.com – trang thương mại điện tử lớn tại Trung Quốc, còn được gọi là Google của Trung Quốc. Công ty phục vụ hơn 300 triệu người dùng hoạt động từ hơn 200 quốc gia trong đó có Mỹ, Nga và Brazil. Lỗ hổng nghiêm trọng mà các nhà nghiên cứu tìm thấy có thể cho phép kẻ tấn công chiếm quyền điều khiển tài khoản của các nhà bán lẻ và khách hàng. Sử dụng lỗ hổng XSS trên AliExpress, kẻ tấn công có thể chèn một đoạn dữ liệu độc hại vào tham số lưu trữ tin nhắn. Và khi người bán truy cập đến trung tâm nhắn tin trong trang web AliExpress bằng tài khoản của mình, họ sẽ vô tình thực thi các script độc hại trên trình duyệt của mình. XSS Payload có thể dẫn đến một số cuộc tấn công như thực hiện các hành động thay mặt cho chủ tài khoản, các cuộc tấn công lừa đảo, ăn cắp phiên bản nhận dạng của nạn nhân,….

Lỗ hổng do nhà nghiên cứu bảo mật ứng dụng 21 tuổi, Barak Tawily tại AppSec Labs phát hiện ra.Khai thác lỗ hổng, Barak Tawily có thể thay đổi giá sản phẩm, xóa hàng hóa và thậm chí là đóng cửa hàng của các thương gia trên trang web. Với những hacker có tay nghề cao, chúng có thể thực hiện các cuộc tấn công từ xa bằng cách gửi thông điệp độc hại đến cho tất cả những người bán lẻ trên AliExpress và sẽ gây ra thiệt hại vô cùng lớn cho Alibaba.com.

Sau khi nhận được thông tin và bằng chứng liên quan đến lỗ hổng, Alibaba đã đưa ra các biện pháp an ninh: vá lỗ hổng, thắt chặt an ninh và thúc giục khách hàng của họ cập nhật tài khoản ngay lập tức.

Theo THN

Bình luận