Un nuevo fallo en AliExpress permite modificar los precios

Escrito por Rubén Velasco
Seguridad
0

Esta misma semana hemos podido saber de un fallo en el portal de comercio electrónico AliExpress que permitía con un simple parámetro de la URL acceder a la información personal y privada de todos los clientes de la tienda. Parece que la tienda online del “Google chino” como se conoce a Alibaba no está en su mejor momento ya que se han podido conocer datos sobre un nuevo fallo más grave en la plataforma.

La empresa de seguridad israelí AppSec ha dado a conocer nuevos detalles sobre una nueva vulnerabilidad que permitía a usuarios malintencionados cambiar el precio de los productos para pagar menos por ellos.

Con esta vulnerabilidad piratas informáticos podría modificar fácilmente una compra de cientos de dólares a sólo un dólar y pagar lo establecido por ella comprando el producto mucho más barato del precio que realmente habría que pagar por él.

Esta vulnerabilidad fue reportada por el grupo de investigadores a Alibaba en forma de varios correos electrónicos en inglés. Tras varias semanas ignorados por el gigante tecnológico chino finalmente publicaron la información en la prensa que, poco después recibía respuesta por parte de Alibaba así como una propuesta de colaboración para solucionar dicho fallo en la tienda AliExpress.

Actualmente este fallo está siendo solucionado y AliExpress es un poco más segura. Alibaba no ha hecho ninguna declaración sobre los motivos por los que no se ha contestado antes a los correos aunque, según afirma la empresa de seguridad, imaginan que se deberá a un fallo de comunicación al enviar los correos en inglés y Alibaba tener lenguaje chino.

AliExpress_foto

AppSec no ha facilitado información técnica sobre la vulnerabilidad de AliExpress para evitar que pueda ser explotada antes de solucionarse completamente. Tampoco se conocen casos en los que esta vulnerabilidad haya sido explotada antes de su descubrimiento, sin embargo, de haberse descubierto anteriormente o de haber sido otros investigadores de seguridad con “otros ideales” quienes hubieran dado con ella en vez las consecuencias podrían haber sido catastróficas para la compañía.

Con la proximidad de las fiestas navideñas y el auge de las compras a través de Internet debemos extremar las precauciones para evitar ser víctimas de un fallo de seguridad remoto, de estafas o de cualquier otro intento malintencionado de las personas que amenazan la seguridad en la red. Ya sea a través de AliExpress como de otras tiendas online, la seguridad es siempre lo más importante.

¿Crees que las grandes compañías deberían prestar atención ante este tipo de vulnerabilidades?

Fuente: Info-security