ثغرة خطيرة بالمتجر الإلكتروني AliExpress تؤدي إلى كشف المعلومات الشخصية الخاصة بملايين المستخدمين حول العالم
في غاية الخطورة، ولكن سهلة الاستغلال، جاءت هذه المقولة على لسان الباحث الأمني الذي اكتشف ثغرة أمنية في المتجر الإلكتروني “AliExpress”، هذه الثغرة تؤدي للكشف عن المعلومات الشخصية السرية الخاصة بالمستخدمين.
AliExpress هو متجر إلكتروني على شبكة الانترنت، مملوك للشركة الصنية العملاقة “علي بابا” Alibaba.com، والثغرة الأمنية التي تم اكتشافها بهذا المتجر، تمكن أي شخص من الحصول على معلومات شخصية لمئات ملايين المستخدمين لهذا الموقع حول العالم، ذلك بدون معرفة الأرقام السرية الخاصة بحساباتهم، ويذكر Amitay Dan، باحث أمني إسرائيلي، يعمل بشركة Cybermoon.cc، قام بتبليغ شركة AliExpress، بالثغرة، ثم بعد ذلك قام بإخبار موقع The Hacker News، ووسائل الإعلام الإسرائيلية.
ووفقاً للفيديو والصور التي قدمها الباحث الأمني لموقع هكر نيوز، وذلك لتوضيح الثغرة، اثبت أن الموقع يتيح للمستخدم الذي قام بعملية تسجيل دخول أن يقوم بإضافة أو تعديل عنوان الشحن ورقم الاتصال في الـ URL التالي.
http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456
حيث يوضح الرابط الأعلى أن الرقم “123456” يمثل الـ user id للمستخدم الذي قام بعملية تسجيل الدخول. الباحث لاحظ أنه بواسطة تغيير البارامتر الخاص بقيمة الـ mailingAddressId إلى قيمة مختلفة، يمكن استغلال الخلل بسهولة لعرض عناوين البريد الإلكترونية، ومعلومات الاتصال الخاصة باليوز صاحب الـ ID، في نفس الصفحة.
المهاجم الناجح يستطيع وبكل بساطة جمع معلومات شخصية للملايين من رواد موقع AliExpress، وذلك بواسطة استخدام سكربت يقوم بعمل Crawl، أي تتبع كل الروابطة الخاصة بصفحة “mailingAddress.htm”، وذلك لكل الأرقام المحتملة بين 1 و 9999999999 وذلك كباراميتر للـ mailingAddressId.
الثغرة تم إبلاغها لفرق الدعم الفني الخاص بمتجر AliExpress، والذين أكدوا بدورهم على أن عملية الإصلاح سوف تتم في الساعات القليلة القادمة.
