Уязвимость сайта AliExpress позволяла хакерам атаковать покупателей

Исследователей Check Point Software Technologies обнаружили, что хакеры могут атаковать любителей онлайн-шопинга через сайт AliExpress, самого популярного портала онлайн-торговли в мире (100 млн. пользователей и 23 млрд. долл. выручки по всему миру).

Уязвимость на сайте AliExpress позволяет злоумышленникам выманивать у пользователей, например, ценные данные, заставляя их переходить на зараженный сайт, содержащий вредоносный код JavaScript. Как только пользователь попадает на сайт, код активируется и блокирует защиту AliExpress от межсайтового скриптинга.

Уязвимость была найдена 9 октября. Сразу после обнаружения исследователи Check Point незамедлительно передали информацию в AliExpress. А уже 11 октября уязвимость была устранена.

Теоретически злоумышленники могут запустить атаку через рассылку фишинговых писем. Пользователь получает письмо с предложением от AliExpress и ссылкой на зараженный сайт. Жертва переходит по ссылке и видит поверх главной страницы всплывающий купон, запущенный на субдомене AliExpress, куда ему предлагают ввести данные банковской карты, чтобы упростить процесс покупок. Данные, введенные в эту форму, отправляются прямиком хакерам, а не на официальный сайт ритейлера.