Luka w zabezpieczeniach. Dane o 800 tys. przesyłkach z AliExpress były dostępne od ręki

Portal Postal Ninja, który pozwala śledzić paczki zamówione przez AliExpress miał lukę w zabezpieczeniach. Na stronie z łatwością można było zdobyć dane nawet o 800 tys. przesyłkach.
Zobacz wideo

Serwis Zaufana Trzecia Strona dzięki jednemu z użytkowników dotarł i zgłosił lukę w zabezpieczeniach portalu Postal Ninja. Jest to popularna strona, która pozwala sprawdzić status przesyłki z AliExpress. Okazuje się, że numery przesyłek, używane do ich śledzenie nie są generowane losowo i łatwo je przewidzieć. To już samo w sobie jest problemem, szczególnie, że wpisując numer przesyłki dostajemy dostęp do pełnego imienia, nazwiska oraz adresu odbiorcy przesyłki. Są to dane, które można wykorzystać do tworzenia reklam i wysyłania spamu do osób, które kupują najwięcej. Większym problemem jest jednak to, że takie dane można wykorzystać także do phishingu. Jest to metoda, która pozwala na oszukiwanie i naciąganie ludzi, poprzez podszywanie się pod instytucje, sklepy czy rodzinę. Na podobny atak niedawno byli narażeni użytkownicy Allegro. 

Zaufana Trzecia Strona podaje, że dane te można było zdobyć od października do grudnia 2019 roku. Dostępne były informacje o osobach, które skorzystały z wysyłki firmy SinoAir przy zakupach na AliExpress. Po przeprowadzeniu testów oszacowano, że można było uzyskać dane o nawet 800 tys. przesyłek

Postal Ninja szybko naprawia wyciek danych klientów AliExpress

Zaufana Trzecia Strona skontaktowała się z właścicielami Postal Ninja. Na odpowiedź czekali trzy godziny, a portal zapewnił, że załata dziurę w ciągu 24 godzin. Dotrzymali słowa i dobę później, nie dało się już uzyskać danych dotyczących przesyłek. Wciąż widać status przesyłki, ale z imienia i nazwiska zostały tylko trzy litery, a w adresie nie widnieje już ani ulica, ani numer mieszkania i domu.