{"id":196705,"date":"2017-11-24T09:17:33","date_gmt":"2017-11-24T08:17:33","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196705"},"modified":"2023-04-11T07:17:01","modified_gmt":"2023-04-11T05:17:01","slug":"shoppingportal-aliexpress-enthlt-eine-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/24\/shoppingportal-aliexpress-enthlt-eine-schwachstelle\/","title":{"rendered":"Shoppingportal AliExpress enthält eine Schwachstelle"},"content":{"rendered":"

Das Shoppingportal AliExpress der chinesischen AliBaba-Gruppe konnte durch einen simplen Trick geknackt werden Dabei lie\u00dfen sich wichtige Kreditkartendaten der Kunden direkt von Kriminellen abgreifen. Die Schwachstelle ist mittlerweile behoben. <\/em><\/p>\n

<\/p>\n

\"\"Ich gestehe, AliExpress ist f\u00fcr mich Neuland, aber ich stelle das Ganze trotzdem mal hier im Blog ein, weil m\u00f6glicherweise der eine oder andere Leser dort bestellt. Das Ganze wurde von Sicherheitsspezialisten der Firma Check Point herausgefunden.<\/p>\n

AliExpress \u2013 ein Big Player<\/h2>\n

Das Portal AliExpress ist bei Online-Kunden beliebt und hat 100 Millionen Kunden weltweit. Damit ist es ein attraktives Ziel f\u00fcr Cyberkriminelle. Gerade jetzt zur Weihnachtszeit steigen die Ums\u00e4tze und Kunden sind empf\u00e4nglicher f\u00fcr Werbeangebote. AliExpress wirbt auf der Startseite mit Gewinncoupons, die den Kunden Rabatte im Austausch f\u00fcr ihre pers\u00f6nlichen Informationen versprechen. Meistens werden diese Daten direkt gespeichert, um die Nutzerfreundlichkeit f\u00fcr den Kunden zu erh\u00f6hen. <\/p>\n

Daten konnten abgegriffen werden<\/h2>\n

Allerdings gab es eine Schwachstelle im Portal von AliExpress. Dem Threat Intelligence-Team von Check Point gelang es, \u00fcber diese Schwachstelle sensible Kundendaten abzugreifen. <\/p>\n

Den Leuten von Check Point ist es gelungen, einen Coupon zu f\u00e4lschen und damit Zugriff auf Nutzerkonten zu erwerben. Eine Sicherheitsl\u00fccke besteht unter anderem bei angegebenen Kreditkartendaten, die dann missbraucht werden k\u00f6nnen. <\/p>\n

Die Sicherheitsl\u00fccke wurde der AliBaba-Gruppe am 09. Oktober 2017 gemeldet und von ihr innerhalb von zwei Tagen geschlossen. <\/p>\n

Angriff in Stufen<\/h2>\n

Der Angriff geschieht in mehreren Schritten. Dabei kommt Cross Site Scripting zum Einsatz. Normalerweise hat das Portal eine Schutzfunktion f\u00fcr \u00fcbergreifende XSS-Seitenattacken. <\/p>\n

Zuerst ver\u00e4ndert das Theam von Check Point daher einen Parameter zum Aufruf der AliExpress-Website. Durch diesen Eingriff gelangt es, JavaScript-Code auf der AliExpress Subdomain auszuf\u00fchren. Dadurch konnte die Schutzfunktion f\u00fcr \u00fcbergreifende Seitenattacken des Portals umgangen werden. <\/p>\n

Dann wurde einem Benutzer ein Link zugesandt, der f\u00e4lschlicherweise auf die AliExpress-Domain verwendet. \u00d6ffnet der Nutzer diesen Link durch Anklicken, wird er auf eine andere AliExpress-Website weitergeleitet, auf der JavaScript Code enthalten ist. Auf der kompromittierten Webseite wurde dem Benutzer dann ein Coupon angeboten, wobei dieser seine Kreditkartendaten zum Bezug des Coupons angeben musste. Eine Sache, die eigentlich misstrauisch machen sollte. Gibt der Benutzer leichtsinnigerweise seine Daten ein, h\u00e4tten Cyberkriminelle die Kontendaten und mehr abgreifen k\u00f6nnen. Dadurch, dass AliExpress selbst auch diese Coupons benutzt, ist es f\u00fcr Laien schwer bis unm\u00f6glich, die F\u00e4lschung zu erkennen. <\/p>\n

Achtung, kurz vor Weihnachten<\/h2>\n

Vor allem jetzt zur Weihnachtszeit und in der BlackFriday-Woche lauern Hacker an allen Ecken, da sie gro\u00dfe Beute riechen. Nutzer sollten daher beim Online-Shopping aufmerksam sein. Sollte einem irgendetwas seltsam vorkommen, ist es ratsam, dies direkt bei Anbieter zu melden. Auch sensible Daten (z.B. die Kreditkartendaten) sollten nicht so ohne Weiteres rausgegeben werden. Hierbei ist es ratsam, auf Pr\u00fcfsiegel zu achten, um sicherzugehen, dass Zahlungsinformationen ausreichend verschl\u00fcsselt werden. <\/p>\n

Das Problem mit Cyberattacken<\/h2>\n

Cyberattacken auf Onlineh\u00e4ndler nehmen stetig zu. Umso wichtiger ist es, auf Meldungen von Sicherheitsfirmen zu reagieren und den Kriminellen so wenig Chancen auf Erfolg einzur\u00e4umen. CheckPoint meldete die Sicherheitsl\u00fccke umgehend AliExpress, welches die Schwachstelle bereits zwei Tage sp\u00e4ter behoben hatte. <\/p>\n

Der Anbieter hat also musterg\u00fcltig reagiert \u2013 in meinen Augen ist aber das Problem, dass die Kunden von solchen Unternehmen entsprechend \u00fcber Coupons gegen pers\u00f6nliche Daten konditioniert werden. Eine Praxis, die in China durchaus \u00fcblich zu sein scheint. Hier kommt der kulturelle Hintergrund des Unternehmens, welches ja in China beheimatet ist, zum Tragen. Wie sich das auf k\u00fcnftige Gesch\u00e4fte auswirkt, muss man abwarten. Ich bin jedenfalls skeptisch gespannt, ob die in China vorherrschende Staatsdoktrin mit 'Big Brother is watching you und wenn Du nichts zu verbergen hast, kannst Du deine Daten gerne hergeben' nicht bald zum Klotz am Bein f\u00fcr die chinesische Wirtschaft wird. Dann es ist ja nicht AliExpress, fast in jeder Firmware f\u00fcr China-Produkte werden gravierende Sicherheitsl\u00fccken oder sogar Backdoors gefunden. F\u00fcr China-Anwender und Hersteller kein Ding, da allgegenw\u00e4rtig, aber f\u00fcr den Rest der Welt m\u00fcsste das eigentlich ein No Go sein \u2013 zumindest f\u00fcr Firmen, die Geheimnisse wahren m\u00fcssen, und f\u00fcr Konsumenten, die nicht komplett gl\u00e4sern sein wollen. Oder wie seht ihr das so?<\/p>\n

Den Hintergrundbericht gibt es auf dem Blog von Check Point<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"

Das Shoppingportal AliExpress der chinesischen AliBaba-Gruppe konnte durch einen simplen Trick geknackt werden Dabei lie\u00dfen sich wichtige Kreditkartendaten der Kunden direkt von Kriminellen abgreifen. Die Schwachstelle ist mittlerweile behoben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4338,6664,4328],"class_list":["post-196705","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-internet","tag-schwachstelle","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196705"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196705\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}