¿Compras en AliExpress? Tu cuenta podía haber sido robada

¿Compras en AliExpress? Tu cuenta podía haber sido robada

Carlos González

AliExpress es considerada «la puerta a China», en cuanto al comercio por Internet. Gracias a su plataforma tenemos acceso directo a miles de tiendas, más grandes y más pequeñas, en las que podemos encontrar todo tipo de productos económicos originales y cientos de imitaciones de reconocidos productos. Es el Alibaba para los minoristas, y sí, de los mismos dueños. Recientemente, su seguridad se ha visto gravemente comprometida.

Este fin de semana ha sido descubierto, en AliExpress, un grave fallo de seguridad que permite, con excesiva facilidad, robar información confidencial -como datos bancarios- de los usuarios que compran a través de su soporte. El problema está en que el fallo de seguridad que nos ocupa, a pesar de lo conocido que es AliExpress y la cantidad de usuarios que lo utilizan a diario, ha dejado en evidencia lo simple que es acceder a los datos privados de los usuarios. Y es que, aunque AliExpress no almacena datos bancarios, acceder a ellos ha sido realmente fácil, incluso sin tener la contraseña de los usuarios afectados.

Dado el sistema inseguro utilizado por AliExpress, el fallo de seguridad ha permitido acceder al número de cliente y sus datos de envío con tan solo una URL, sin necesidad de tener las cookies de usuario y, por otra parte, sin que AliExpress solicitase la contraseña, sino que sólo ha sido necesario modificar un simple parámetro de la URL «original». Según una URL con parámetro «mailingadress», nos encontramos con que la terminación «mailingAdressId» está directamente asociada a un usuario único y la utilización de la URL se puede llevar a cabo sin la comprobación de cookies de sesión ni la solicitud de contraseña de acceso.

De esta forma, con ese tipo de URL y modificando únicamente el último parámetro, los usuarios malintencionados han podido acceder absolutamente a todas las cuentas de usuario y tomar los datos que allí aparecen, puesto que sólo era necesario introducir un valor entre 1 y 999999999 para la configuración de una URL como la siguiente:

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

El alcance de AliExpress se extiende a lo largo de más de 200 países con más de 300 millones de usuarios activos, lo que quiere decir que este tipo de problemas de seguridad, sin duda, dejan en muy mal lugar al comercio electrónico minorista de Alibaba. En cualquier caso, por suerte ya ha sido solucionado el problema.