“FIC2018”

Faille de cybersécurité chez AliExpress : 100 millions de victimes potentielles !

0

La barbe du Père Noël est généralement blanche, la couleur de la pureté et de l’innocence. Cependant, les cybercriminels ciblant les acheteurs en ligne qui profitent des vacances du BlackFriday et de Noël cette année pourraient essayer de profiter de cette innocence. Les chercheurs de Check Point ont récemment découvert que les criminels ont une nouvelle façon de tromper les acheteurs en ligne via le très populaire portail d’achat AliExpress. Avec plus de 100 millions de clients et 23 milliards de dollars de chiffre d’affaires dans le monde, AliExpress, qui fait partie du groupe AliBaba, est l’un des sites les plus populaires pour faire des achats en ligne.

Selon l’étude mené par Check Point affirme que quand la personne ouvre la page, le code s’exécute dans le moteur de recherche, et contourne les protections contre les attaques du type « cross-site scripting », en utilisant une vulnérabilité dite « open redirect ».

Une fois sur la page malicieuse, l’utilisateur ne se rend compte de rien et continue de faire son shopping comme si de rien n’était. Le hacker va ensuite déclencher une fenêtre pop-up, offrant une réduction, et lui demandant de rentrer ses codes de carte bancaire. Demandant aux clients de fournir des détails de carte de crédit pour permettre une expérience de magasinage plus fluide et plus efficace, les attaquants prennent contrôle de cette fenêtre avec toutes les informations de carte de crédit entrées.

aliexpress

Après avoir découvert la vulnérabilité, Check Point a immédiatement informé AliExpress qui, en raison de son approche très sérieuse de la cybersécurité, a mis deux jours à patcher cette vulnérabilité. Un exemple a suivre pour les autres retailers.

Dans ce sens, les derniers rapports indiquent que les cyberattaques sur les sites web d’achat en ligne ont doublé depuis 2016, donc, les acheteurs doivent rester vigilants lors de leurs achats en ligne.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply