Descubierta una grave vulnerabilidad en AliExpress

Sin embargo, los problemas de seguridad pueden afectar también a los más grandes. Y es que, según ha descubierto la empresa de seguridad Check Point, el mayor proveedor mundial de seguridad, una grave vulnerabilidad en AliExpress que buscaba engañar a los clientes y hacer que se descargasen malware. AliExpress (propiedad del grupo AliBaba) es uno de los gigantes asiáticos en la venta de productos como gadgets o ropa, y tiene 100 millones de clientes y 23.000 millones de dólares en ingresos.

La vulnerabilidad permitía a un atacante contactar a los compradores en su correo electrónico mediante campañas de phishing, a los cuales se les podía enviar un enlace que llevaba código Javascript malicioso. Éste se saltaba la protección ante ataques del tipo cross-site scripting (XSS) mediante el redireccionamiento web, contra el que recientemente Google Chrome está incluyendo bloqueos.

El enlace prometía un cupón falso a cambio de tu tarjeta bancaria

En el email de phishing, los atacantes podían mostrar una oferta mediante cupón en la página web de AliExpress en un subdominio de su propiedad, en el cual se pedía a los clientes que introdujeran los datos de sus tarjetas de crédito para “facilitar la compra y hacerla más cómoda y eficiente”. Por ello, el alcance de esta vulnerabilidad es muy importante, y nada más descubrirla, informaron rápidamente a AliExpress. La compañía lo arregló en sólo 48 horas desde que fueron notificados (fueron notificados el 9 de octubre y lo arreglaron el día 11).

aliexpress-tarjeta

Los ataques de este tipo a tiendas minoristas se han duplicado desde el año pasado, y por ello hay que andarse con mucho cuidado a la hora de que nos muestren ofertas en según qué sitios. Si queréis tener vuestro email protegido ante este tipo de ataques, os dejamos un enlace para que podáis bloquear los correos electrónicos que contengan la palabra “Black Friday”.

blackfriday  ¿Cansado del Black Friday? Cómo dejar de recibir ofertas en Gmail

Como siempre, os recordamos que tenéis que tener mucho cuidado con el phishing cuando realicéis vuestras compras online. Una buena idea es fijarse en que la página que os pida vuestros datos sea HTTPS y tenga el candado verde al lado de la URL. Si la web no lo tiene, ni se os ocurra darle vuestros datos personales. El hecho de tenerlo tampoco quiere decir que la web sea 100% segura, ya que se existen certificados falsos Lo mejor es acceder directamente a las páginas de las tiendas para acabar yendo a webs falsas.

 

Fuente: Check Point | adslzone