AliExpress é uma parte do mercado on-line por atacado do Alibaba Group chinês. Foi estabelecido em 2010 e é um dos mais visitados na Rússia.
De acordo com o Chinese Internet News - uma das principais fontes de notícias da China em vários setores – O AliExpress quase dobrou o volume de vendas do Alibaba Group no terceiro trimestre de 2014. Atingiu a tremenda receita de 55 milhões de dólares ou 68 milhões em euros.
O varejista atingiu um volume de vendas de cerca de 9,3 bilhões de dólares ou 7,532 bilhões de euros em 11 de novembro, 2014 - o dia da maior venda online na China. Quase metade dos negócios foi em dispositivos móveis, a quantidade de vendas quase o dobro das vendas da Black Friday, anunciou com orgulho a divisão de comércio eletrônico da Alibaba, Alizila.com, no Twitter.
A falha
Pesquisadores descobriram recentemente que uma possível vulnerabilidade na loja online AliExpress pode colocar milhares de seus clientes em risco. A vulnerabilidade dá aos bandidos a possibilidade de roubar informações pessoais de usuários do AliExpress. Foi encontrado no “mailingAddressId” parâmetro ID que é um recurso que permite aos clientes do AliExpress se comunicarem uns com os outros.
Os pesquisadores descobriram que o endereço de entrega de um pedido pode ser alterado no “mailingAddressId” URL. Colocando outro endereço de envio, o sistema revela uma conta de usuário do AliExpress totalmente diferente. Isso inclui o nome, país, Cidade / cidade, endereço e número de telefone do usuário. Felizmente, apenas esses são os parâmetros que podem ser revelados, não há dados confidenciais do usuário, como informações financeiras ou endereços de e-mail. A vulnerabilidade aparece porque o site AliExpress não tem módulo de verificação de acesso adicional para usuários que entram no site.
Embora as informações não sejam estritamente confidenciais, ainda pode ser usado por vigaristas para fraudes. O número de telefone e o nome da vítima seriam suficientes para iniciar um golpe por telefone, por exemplo.
Restrições
Os desenvolvedores do Alibaba foram informados sobre a vulnerabilidade, mas parecia que eles não tomaram nenhuma atitude no início. Agora, Contudo, tentando alterar parâmetros dentro da string “mailingAddressID”, os usuários veem uma página informando “sua conta não foi autorizada a realizar tais ações”.