首页 网络安全 正文
  • 本文约750字,阅读需4分钟
  • 3850
  • 0

速卖通再曝安全漏洞:可允许黑客钓鱼支付卡细节

摘要

Check Point的安全研究人员近日发现,速卖通的官方网站上存在一个开放的重定向漏洞,能够允许攻击者用来进行欺诈活动。

我们知道,阿里巴巴全球速卖通是阿里巴巴旗下的一个终端批发零售商,在全球拥有超过1亿的客户群和230亿美元的收入,可以说是阿里巴巴电子商务帝国旗下的中坚力量之一。

不过,Check Point的安全研究人员近日发现,速卖通的官方网站上存在一个开放的重定向漏洞,能够允许攻击者用来进行欺诈活动。

速卖通再曝安全漏洞:可允许黑客钓鱼支付卡细节

该漏洞被安全研究人员发现后,在10月9日时候就上报给了阿里巴巴安全团队,该漏洞在接到通知的两天内,就被成功修复。

据悉,速卖通网站上存在的这个漏洞是这样的:

黑客可以先通过钓鱼邮件将一个包含恶意JS代码的链接发送给速卖通的客户,当打开这个链接后,客户就会得到一个速卖通的登录页面,用户使用自己正确的凭证灯具网站后,则会弹出一个虚假的优惠券弹窗,要求客户必须输入他们的支付卡细节,从而获取到一张价值50美元的优惠券!

速卖通再曝安全漏洞:可允许黑客钓鱼支付卡细节

其实,当用户输入自己正确的登陆凭证的那一刻起,就已经开始落入到了黑客设计好的圈套里,再加上还泄漏了支付卡的细节,其后果我们可想而知了,因为这些数据并不会被发送给阿里速卖通,而是直接传送到了攻击者的邮箱里!

虽然这样的事情解读起来相当的简单,看似漏洞百出,但谁又能逃得过黑客精心设计的钓鱼邮件和钓鱼网站呢,往往50美元的优惠券就足以让我们在毫无防备的情况下亲自泄漏自己的隐私数据!

速卖通再曝安全漏洞:可允许黑客钓鱼支付卡细节

当然,这也不是速卖通第一次爆出存在安全漏洞了,早在2014年时,以色列安全研究人员就发现,黑客能够利用自动化抓取脚本来抓取速卖通某邮件地址网页上从1到99999999999中所有可能的数字,然后轻松的收集到上百万个速卖通客户的个人信息!

不过,笔者也不止一次的重复过,这个世界上本身没有绝对安全的系统可言,即便是全球PC用户都在使用的Windows系统依旧时不时的会被爆出存在漏洞,因此,如果能在发现漏洞后及时的查缺补漏才是关键!

评论
更换验证码
友情链接