AliExpressは中国のアリババグループの卸売オンラインマーケットの一部です. それはで確立されています 2010 そしてロシアで最も訪問されたものの1つです.
中国のインターネットニュースによると–さまざまな業界にわたる中国のニュースの主要なニュースソース – AliExpressは第3四半期にアリババグループの販売量をほぼ2倍にしました 2014. それはの途方もない収入に達しました 55 百万ドルまたは 68 百万ユーロ.
小売業者は約の販売量に達しました 9,3 十億ドルまたは 7,532 11月11日10億ユーロ, 2014 –中国で最大のオンライン販売の日. 取引のほぼ半分はモバイルデバイスに関するものでした, ブラックフライデーの売り上げのほぼ2倍の売り上げ, アリババのeコマース部門Alizila.comをTwitterで誇らしげに発表.
グリッチ
研究者は最近、AliExpressオンラインストアの脆弱性が何千もの顧客を危険にさらす可能性があることを発見しました. この脆弱性により、詐欺師はAliExpressユーザーから個人情報を盗む可能性があります。. それはで発見されました “mailingAddressId” AliExpressのお客様が相互に通信できるようにする機能であるパラメータID.
研究者は、注文の配送先住所が “mailingAddressId” URL. 別の配送先住所をシステムに配置すると、まったく異なるAliExpressユーザーアカウントが表示されます. 名前が含まれています, 国, 街 / 街, ユーザーの住所と電話番号. 幸いなことに、これらだけが明らかになる可能性のあるパラメータです, 財務情報やメールアドレスなどのユーザーの機密データはありません. AliExpressのWebサイトには、サイトにアクセスするユーザーのための追加のアクセス検証モジュールがないため、この脆弱性が発生します.
情報は厳密には機密ではありませんが, それはまだ詐欺のために詐欺師によって使用される可能性があります. たとえば、電話番号と被害者の名前は、電話詐欺を開始するのに十分です。.
制限
アリババの開発者は脆弱性について知らされています, でも最初は何もしなかったようです. 今, でも, 「mailingAddressID」文字列内のパラメータを変更しようとすると、「アカウントにそのようなアクションを実行する権限がありません」というページが表示されます。.
