Персональные данные миллионов пользователей AliExpress оказалась под угрозой

На сайте популярной торговой площадки AliExpress обнаружена критическая уязвимость, затрагивающая миллионы пользователей по всему миру. Эксплуатация бага позволяет получать доступ к персональной информации пользователей.

Эксперты представили видео, демонстрирующее, как с помощью URL-адреса http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456 авторизованный на сайте AliExpress пользователь может добавлять или обновлять адрес доставки товаров и контактный номер телефона. При этом 123456 – это ID авторизованного пользователя.

По словам эксперта, всего лишь изменив значение mailingAddressId, хакер может с легкостью проэксплуатировать брешь в системе проверки на сайте. В результате на этой же странице отобразится контактная информация соответствующего пользователя. Атакующий может собрать личные данные миллионов пользователей AliExpress, используя скрипт для автоматического подбора чисел от 1 до 99999999999 в качестве значения ID на странице mailingAddress.htm.