AliExpress is een groothandel online markt deel van de Chinese Alibaba Group. Het is gevestigd 2010 en is een van de meest bezochte in Rusland.
Volgens de Chinese Internet Nieuws - een toonaangevende nieuwsbron van China nieuws over verschillende industrieën – AliExpress is bijna verdubbeld verkoopvolume Alibaba Group in Q3 van 2014. Het is de enorme inkomsten van bereikte 55 miljoen dollar of 68 miljoen euro.
De retailer bereikte een omzet van ongeveer 9,3 miljard dollar of 7,532 miljard euro op 11 november, 2014 - De dag van de grootste online verkoop in China. Bijna de helft van de aanbiedingen waren op mobiele apparaten, het bedrag van de verkoop verdubbelen bijna die van de Black Friday degenen, trots aangekondigd Alibaba's e-commerce divisie Alizila.com op Twitter.
De Glitch
Onderzoekers recent gevonden dat mogelijk kwetsbaarheid in de AliExpress online winkel duizenden van haar klanten in gevaar kunnen brengen. De kwetsbaarheid geeft de boeven mogelijkheid om persoonlijke informatie van AliExpress gebruikers te stelen. Gebleken is in de “mailingAddressId” parameter ID dat is een functie waarmee AliExpress klanten te communiceren met elkaar.
Onderzoekers hebben ontdekt dat het leveringsadres van een bestelling binnen de kan worden gewijzigd “mailingAddressId” URL. Het plaatsen van een ander afleveradres het systeem onthult een geheel andere AliExpress gebruikersaccount. Dat geldt ook voor de naam, land, stad / stad, adres en telefoonnummer van de gebruiker. Gelukkig alleen deze van de parameters die kunnen worden onthuld, er is geen gebruiker gevoelige gegevens, zoals financiële gegevens of e-mailadressen. De kwetsbaarheid wordt weergegeven omdat de AliExpress website niet extra toegang verificatiemodule hebben voor de gebruikers van de site invoeren.
Hoewel de informatie is niet strikt vertrouwelijk, het nog steeds kan worden gebruikt door oplichters voor fraude. Het telefoonnummer en de naam van het slachtoffer zou hebben telefoon oplichting bijvoorbeeld initiëren.
Beperkingen
Alibaba ontwikkelaars zijn op de hoogte van de kwetsbaarheid, maar het leek ze hadden geen enkele actie ondernemen op het eerste. Nu, echter, proberen om de parameters binnen de "mailingAddressID" string gebruikers zien veranderen van een pagina met vermelding van "uw account niet is toegestaan om dergelijke acties te ondernemen".
