¿Compras en AliExpress? Tu cuenta podía haber sido robada

Actualidad

AliExpress es considerada “la puerta a China”, en cuanto al comercio por Internet. Gracias a su plataforma tenemos acceso directo a miles de tiendas, más grandes y más pequeñas, en las que podemos encontrar todo tipo de productos económicos originales y cientos de imitaciones de reconocidos productos. Es el Alibaba para los minoristas, y sí, de los mismos dueños. Recientemente, su seguridad se ha visto gravemente comprometida.

Este fin de semana ha sido descubierto, en AliExpress, un grave fallo de seguridad que permite, con excesiva facilidad, robar información confidencial -como datos bancarios- de los usuarios que compran a través de su soporte. El problema está en que el fallo de seguridad que nos ocupa, a pesar de lo conocido que es AliExpress y la cantidad de usuarios que lo utilizan a diario, ha dejado en evidencia lo simple que es acceder a los datos privados de los usuarios. Y es que, aunque AliExpress no almacena datos bancarios, acceder a ellos ha sido realmente fácil, incluso sin tener la contraseña de los usuarios afectados.

Dado el sistema inseguro utilizado por AliExpress, el fallo de seguridad ha permitido acceder al número de cliente y sus datos de envío con tan solo una URL, sin necesidad de tener las cookies de usuario y, por otra parte, sin que AliExpress solicitase la contraseña, sino que sólo ha sido necesario modificar un simple parámetro de la URL “original”. Según una URL con parámetro “mailingadress”, nos encontramos con que la terminación “mailingAdressId” está directamente asociada a un usuario único y la utilización de la URL se puede llevar a cabo sin la comprobación de cookies de sesión ni la solicitud de contraseña de acceso.

De esta forma, con ese tipo de URL y modificando únicamente el último parámetro, los usuarios malintencionados han podido acceder absolutamente a todas las cuentas de usuario y tomar los datos que allí aparecen, puesto que sólo era necesario introducir un valor entre 1 y 999999999 para la configuración de una URL como la siguiente:

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

El alcance de AliExpress se extiende a lo largo de más de 200 países con más de 300 millones de usuarios activos, lo que quiere decir que este tipo de problemas de seguridad, sin duda, dejan en muy mal lugar al comercio electrónico minorista de Alibaba. En cualquier caso, por suerte ya ha sido solucionado el problema.

Escrito por Carlos González

Fuente > RedesZone

Continúa leyendo
Comentarios
7 comentarios
  1. Anónimo
    Usuario no registrado
    09 Dic, 14 12:50 pm

    En cualquier caso, por
    suerte ya ha sido solucionado el problema.

    1. Anónimo
      Usuario no registrado
      09 Dic, 14 1:09 pm

      Jajajaja y para terminar, después de meter el susto dicen con muy pocas palabras que ya ha sido solucionado, en vez de decirlo al principio. Vaya redactores colega…

      1. Anónimo
        Usuario no registrado
        09 Dic, 14 1:21 pm

        ¡Ya te digo!

    2. Anónimo
      Usuario no registrado
      09 Dic, 14 6:46 pm

      Ya lo arreglaron, pero supongo que toda la info que lograron robar el fin de semana eso “no se arregla” y no se como se supone que podemos enterarnos si fuimos robados o no….

      Belén

  2. felipelotero 09 Dic, 14 1:25 pm

    ¿robar información “confindencial” ? ¿Y qué es confindencial, con quién estuvimos el finde pasado? 🙂

  3. VGG 09 Dic, 14 1:34 pm

    ¿Fuente?

    Un saludo,
    VGG

    1. VGG 09 Dic, 14 1:56 pm

      Disculpas, ya he visto lo de RedesZone.

      Un saludo,
      VGG