AliExpress corrige en speed une faille concernant 100 millions d'utilisateurs

Avant-hier, une énorme faille de sécurité était découverte sur le site marchand AliExpress. La boutique en ligne n'a pas été longue à réagir et a immédiatement remédié au problème, qui concernait l'intégralité de ses clients, soit 100 millions d'utilisateurs.

Via une campagne de phishing, l'utilisateur est convié à visiter le site d'AliExpress pour effectuer des achats. En revanche, ce que l'internaute ignore, c'est que le mail contient un code JavaScript malveillant. Au moment de l'ouverture de la page web du site d'AliExpress, le code se lance depuis le moteur de recherche et exploite une faille appelée Open Redirect. Une pop-up s'ouvre sur le site, enjoignant l'utilisateur à profiter d'un bon de réduction, et à remplir ses informations bancaires afin de profiter d'une « expérience d'achat plus fluide et plus efficace ». Le hacker ne contrôle que la fenêtre pop-up pour dérober les informations personnelles de sa victime, mais n'a pas accès au reste.

Antivirus gratuit : quel est le meilleur en 2017 ?

C'est Check Point qui a découvert la faille en question et qui a immédiatement alerté AliExpress. La boutique en ligne, qui appartient en fait au groupe AliBaba, a réagi au problème en corrigeant la faille en moins de deux jours. Il semble qu'il s'agisse de la faille la plus importante que le site ait connue. En 2014, une autre vulnérabilité avait été découverte, mais si elle avait été exploitée (ce qui n'a visiblement jamais été le cas), elle n'aurait concerné que les e-marchands du site.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire