AliExpress est une partie du marché en gros en ligne du groupe Alibaba chinoise. Il a été établi en 2010 et est l'un des plus visités en Russie.
Selon Internet chinois Nouvelles - une source de nouvelles leader des nouvelles de la Chine dans divers secteurs industriels – AliExpress le volume des ventes de Alibaba Group a presque doublé au 3e trimestre 2014. Il a atteint l'énorme chiffre d'affaires de 55 million de dollars ou 68 millions en Euros.
Le distributeur a atteint un volume d'environ de vente 9,3 milliard de dollars ou 7,532 milliards d'euros le 11 Novembre, 2014 - Le jour de la plus grande vente en ligne en Chine. Près de la moitié des transactions ont été sur les appareils mobiles, le montant du chiffre d'affaires a presque doublé celles de ceux Black Friday, est fière d'annoncer la division e-commerce Alibaba Alizila.com sur Twitter.
The Glitch
Les chercheurs ont récemment découvert que possible vulnérabilité dans la boutique en ligne AliExpress peut mettre des milliers de ses clients à risque. La vulnérabilité donne la possibilité escrocs pour dérober des informations personnelles des utilisateurs AliExpress. Il a été trouvé dans la “mailingAddressId” ID de paramètre qui est une caractéristique qui permet aux clients de communiquer avec AliExpress l'autre.
Les chercheurs ont découvert que l'adresse de livraison d'un ordre peut être modifié dans le “mailingAddressId” URL. Placer une autre adresse de livraison du système révèle un compte d'utilisateur de AliExpress entièrement différent. Cela inclut le nom, pays, ville / ville, adresse et numéro de téléphone de l'utilisateur. Heureusement que ce sont les paramètres qui pourraient être révélés, il n'y a pas de données sensibles des utilisateurs comme des informations financières ou adresses e-mail. La vulnérabilité apparaît parce que le site de AliExpress n'a pas accès supplémentaire module de vérification pour les utilisateurs d'accéder au site.
Bien que l'information ne est pas strictement confidentielles, il pourrait être encore utilisé par des escrocs pour fraudes. Le numéro de téléphone et le nom de la victime serait suffisant pour déclencher une escroquerie téléphonique par exemple.
Restrictions
Alibaba développeurs ont été informés de la vulnérabilité, mais il semble qu'ils ne ont pris aucune action au premier. Maintenant, cependant, essayer de changer les paramètres dans les utilisateurs de chaîne "mailingAddressID« voir une page indiquant "votre compte n'a pas été autorisé à entreprendre de telles actions".