Shoppingportal AliExpress enthält eine Schwachstelle

Das Shoppingportal AliExpress der chinesischen AliBaba-Gruppe konnte durch einen simplen Trick geknackt werden Dabei ließen sich wichtige Kreditkartendaten der Kunden direkt von Kriminellen abgreifen. Die Schwachstelle ist mittlerweile behoben.


Anzeige

Ich gestehe, AliExpress ist für mich Neuland, aber ich stelle das Ganze trotzdem mal hier im Blog ein, weil möglicherweise der eine oder andere Leser dort bestellt. Das Ganze wurde von Sicherheitsspezialisten der Firma Check Point herausgefunden.

AliExpress – ein Big Player

Das Portal AliExpress ist bei Online-Kunden beliebt und hat 100 Millionen Kunden weltweit. Damit ist es ein attraktives Ziel für Cyberkriminelle. Gerade jetzt zur Weihnachtszeit steigen die Umsätze und Kunden sind empfänglicher für Werbeangebote. AliExpress wirbt auf der Startseite mit Gewinncoupons, die den Kunden Rabatte im Austausch für ihre persönlichen Informationen versprechen. Meistens werden diese Daten direkt gespeichert, um die Nutzerfreundlichkeit für den Kunden zu erhöhen.

Daten konnten abgegriffen werden

Allerdings gab es eine Schwachstelle im Portal von AliExpress. Dem Threat Intelligence-Team von Check Point gelang es, über diese Schwachstelle sensible Kundendaten abzugreifen.

Den Leuten von Check Point ist es gelungen, einen Coupon zu fälschen und damit Zugriff auf Nutzerkonten zu erwerben. Eine Sicherheitslücke besteht unter anderem bei angegebenen Kreditkartendaten, die dann missbraucht werden können.

Die Sicherheitslücke wurde der AliBaba-Gruppe am 09. Oktober 2017 gemeldet und von ihr innerhalb von zwei Tagen geschlossen.

Angriff in Stufen

Der Angriff geschieht in mehreren Schritten. Dabei kommt Cross Site Scripting zum Einsatz. Normalerweise hat das Portal eine Schutzfunktion für übergreifende XSS-Seitenattacken.

Zuerst verändert das Theam von Check Point daher einen Parameter zum Aufruf der AliExpress-Website. Durch diesen Eingriff gelangt es, JavaScript-Code auf der AliExpress Subdomain auszuführen. Dadurch konnte die Schutzfunktion für übergreifende Seitenattacken des Portals umgangen werden.

Dann wurde einem Benutzer ein Link zugesandt, der fälschlicherweise auf die AliExpress-Domain verwendet. Öffnet der Nutzer diesen Link durch Anklicken, wird er auf eine andere AliExpress-Website weitergeleitet, auf der JavaScript Code enthalten ist. Auf der kompromittierten Webseite wurde dem Benutzer dann ein Coupon angeboten, wobei dieser seine Kreditkartendaten zum Bezug des Coupons angeben musste. Eine Sache, die eigentlich misstrauisch machen sollte. Gibt der Benutzer leichtsinnigerweise seine Daten ein, hätten Cyberkriminelle die Kontendaten und mehr abgreifen können. Dadurch, dass AliExpress selbst auch diese Coupons benutzt, ist es für Laien schwer bis unmöglich, die Fälschung zu erkennen.


Anzeige

Achtung, kurz vor Weihnachten

Vor allem jetzt zur Weihnachtszeit und in der BlackFriday-Woche lauern Hacker an allen Ecken, da sie große Beute riechen. Nutzer sollten daher beim Online-Shopping aufmerksam sein. Sollte einem irgendetwas seltsam vorkommen, ist es ratsam, dies direkt bei Anbieter zu melden. Auch sensible Daten (z.B. die Kreditkartendaten) sollten nicht so ohne Weiteres rausgegeben werden. Hierbei ist es ratsam, auf Prüfsiegel zu achten, um sicherzugehen, dass Zahlungsinformationen ausreichend verschlüsselt werden.

Das Problem mit Cyberattacken

Cyberattacken auf Onlinehändler nehmen stetig zu. Umso wichtiger ist es, auf Meldungen von Sicherheitsfirmen zu reagieren und den Kriminellen so wenig Chancen auf Erfolg einzuräumen. CheckPoint meldete die Sicherheitslücke umgehend AliExpress, welches die Schwachstelle bereits zwei Tage später behoben hatte.

Der Anbieter hat also mustergültig reagiert – in meinen Augen ist aber das Problem, dass die Kunden von solchen Unternehmen entsprechend über Coupons gegen persönliche Daten konditioniert werden. Eine Praxis, die in China durchaus üblich zu sein scheint. Hier kommt der kulturelle Hintergrund des Unternehmens, welches ja in China beheimatet ist, zum Tragen. Wie sich das auf künftige Geschäfte auswirkt, muss man abwarten. Ich bin jedenfalls skeptisch gespannt, ob die in China vorherrschende Staatsdoktrin mit 'Big Brother is watching you und wenn Du nichts zu verbergen hast, kannst Du deine Daten gerne hergeben' nicht bald zum Klotz am Bein für die chinesische Wirtschaft wird. Dann es ist ja nicht AliExpress, fast in jeder Firmware für China-Produkte werden gravierende Sicherheitslücken oder sogar Backdoors gefunden. Für China-Anwender und Hersteller kein Ding, da allgegenwärtig, aber für den Rest der Welt müsste das eigentlich ein No Go sein – zumindest für Firmen, die Geheimnisse wahren müssen, und für Konsumenten, die nicht komplett gläsern sein wollen. Oder wie seht ihr das so?

Den Hintergrundbericht gibt es auf dem Blog von Check Point.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.