Acquisti online, attenzione alla vulnerabilità di AliExpress

24 novembre 2017 di Giuseppe Migliorino

Con i Black Friday e i tanti sconti disponibili online, è importante prestare la massima attenzione alle offerte e ai link dubbi. Ecco quale vulnerabilità è stata scoperta sul noto sito di acquisti online AliExpress.

Con oltre 100 milioni di clienti e 23 miliardi di dollari di fatturato in tutto il mondo, AliExpress è uno dei siti più popolari in cui fare shopping online.

La nuova vulnerabilità consente ai cyber-criminali di colpire gli utenti di AliExpress inviando loro un link a una pagina web di AliExpress contenente del codice Javascript malevolo. Nel momento in cui si apre la pagina, il codice viene eseguito nel browser web dell’utente e quindi ignora la protezione di AliExpress dagli attacchi di tipo cross-site scripting utilizzando una vulnerabilità di reindirizzamento aperto sul sito web.

In questo modo, i cyber-criminali potrebbero far partire questo attacco attraverso una campagna di phishing via e-mail, sfruttando il normale customer journey del cliente di AliExpress, senza che questo abbia il sospetto che qualcosa di insolito o spiacevole stia accadendo. I cyber-criminali potrebbero ad esempio far apparite il pop-up di un coupon con un’offerta sulla schermata iniziale,  chiedendo ai clienti di fornire dettagli della carta di credito per consentire un’esperienza di acquisto più agevole e più efficiente. Gli hacker, tuttavia, controllano esclusivamente questa finestra pop-up con tutti i dati della carta di credito inseriti direttamente a loro non il sito di shopping.

Dopo aver scoperto la vulnerabilità, i ricercatori di Check Point hanno immediatamente informato AliExpress che ha agito rapidamente e risolto entro due giorni dalla falla.

Per restare sempre aggiornato sul tema di questo articolo, puoi seguirci su Twitter, aggiungerci su Facebook o Google+ e leggere i nostri articoli via RSS. Iscriviti al nostro canale YouTube per non perderti i nostri video!

REGOLAMENTO Commentando dichiari di aver letto e di accettare tutte le regole guida sulla discussione all'interno dei nostri blog.