Comprar por Internet tiene sus ventajas: comodidad, precios más económicos, mayor variedad de productos, etc. Sin embargo, todas esas ventajas tienen un coste, y es que facilitamos información personal a dichas empresas que, por diferentes motivos, pueden acabar en manos de terceras personas que den un mal uso de ella.
Así es como ha ocurrido en esta ocasión con AliExpress, el gigante chino de las ventas por Internet. A lo largo de este fin de semana pasado se ha descubierto un fallo de seguridad crítico y muy sencillo de explotar que ha afectado a los millones de usuarios de la página web a lo largo de todo el mundo. Este fallo de seguridad ha permitido a los usuarios malintencionados robar información de cientos de personas en cuestión de segundos sin la necesidad de disponer de su contraseña para ello.
La vulnerabilidad de AliExpress permitía acceder al número de cliente y a los datos de envío desde una sencilla URL sin hacer uso de las cookies del usuario y sin solicitar la contraseña para ello simplemente cambiando un parámetro de la URL.
El fallo en la plataforma web se debe a que una URL está formada por una apariencia similar a la siguiente:
- http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456
El parámetro «mailingAddressId» está asociado a un usuario en concreto y, el uso del mismo, no comprueba ni las cookies de sesión ni solicita la contraseña de acceso. De esta manera los usuarios malintencionados pueden cambiar este valor para acceder a las direcciones de envío de toda la cartera de clientes de AliExpress fácilmente y sin dejar rastro.
Con un sencillo script cualquier pirata informático podría haber descargado una base de datos completa de la tienda online simplemente añadiendo una variable a la URL vulnerable de AliExpress que analizara todos los resultados de dicha variable entre 1 y 999999999 asignado al parámetro «mailingAddressId».
A continuación podemos ver un vídeo que muestra la facilidad de explotación de esta vulnerabilidad.
AliExpress es una tienda online perteneciente al gigante Alibaba.com con más de 300 millones de usuarios activos a lo largo de más de 200 países, entre ellos España, donde se pueden comprar tanto artículos individuales como por lotes para ahorrar aún más en gastos. Con un mercado tan amplio los riesgos potenciales de la vulnerabilidad han sido considerables y, aunque se han confirmado «únicamente» cientos de datos personales robados, podrían haber sido millones sin que nadie lo sepa con seguridad.
¿Qué opinas de esta vulnerabilidad? ¿Crees que cada vez es más sencillo atacar los diferentes servicios de Internet?
Fuente: The Hacker News