以色列的一家研究公司周三称,阿里巴巴集团(Alibaba Group)的国际在线交易平台存在安全漏洞,使得该网站 上的商家及购物者面临重大风险。
被发现存在安全漏洞的这个网站名叫全球速卖通(AliExpress),是一个帮助中国 商家向海外 消费者出售商品的国际在线交易平台,其消费者主要来自俄罗斯、巴西、西班牙和美国。
以色列应用安全公司AppSec Labs的创始人Erez Metula在接受电话采访时称,AppSec的研究人员发现全球速卖通存在一个弱点,黑客可以借此劫持商户的帐号、更改价格、篡改发货信息并关闭商店。Metula称,对于使用该网站的购物者来说,下单时间和地点以及发货地址的细节也因该漏洞而被暴露。
Metula表示,他们将此称为重大漏洞,因为这会影响到任何商家。他称,这是一个知名度很高的网站,上面有许多商家,使用该网站的人也与其他系统 相连接。但他说,该漏洞不会导致信用卡细节被暴露。
阿里巴巴通过电子邮件发布声明称,公司迅速采取了行动解决问题 。
声明称,公司了解情况后立即采取了补救措施。阿里巴巴表示,公司已修复潜在隐患,将继续观察事况发展;客户的安全和隐私是公司第一要务,公司将尽一切努力继续确保平台的交易安全。
记者还问到以下问题:这些漏洞存在多久了?漏洞修复前是否有人利用了这些薄弱环节?阿里巴巴以前是否收到过商户/用户就漏洞相关交易问题提出的报告或投诉?阿里巴巴未立即就这些问题置评。
阿里巴巴大部分收入来自中国市场的淘宝(Taobao)和天猫(Tmall),全球速卖通只占公司业务的一小部分。但这次漏洞事件可能让外界开始在意阿里巴巴其他服务的安全性,进而质疑该公司在保护上亿用户个人信息方面的作为。阿里巴巴9月份在美国上市,250亿美元的IPO规模堪称纪录水平,公司也从此成为投资者和分析师的密切关注对象。
Metula称,他的公司自10月份以来一直在试图联系阿里巴巴集团,通知其上述问题,但很难联系到该公司。阿里巴巴没有立即做出回应。
阿里巴巴并未公布该网站的用户数量,但最近表示,截至6月30日的一年,该平台的商品销售额达45亿美元。
另一位以色列研究人士、安全公司Cybermoon创始人Amitay Dan称,他发现了另外一个缺陷,有可能在不知道帐户密码的情况下获得速卖通买家的运输地址。他说,这让买家的隐私面临风险。
Dan表示,可能泄露的是包裹运输地址。包裹从一个地方运到另一个地方,被人们签收。如果包裹可以找到一个人,那么谁都可以找到他,行善或作恶。
暂时还不清楚阿里巴巴其他的电子商务平台,如淘宝网和天猫是否受到影响。两位研究人士称,他们没有调查阿里巴巴的其他平台。
上述问题最初是以色列的Channel10电视频道报导的。
来源:华尔街日报
本文标签:TAO, 俄罗斯, 华尔街日报, 美国
via 以色列研究者发现阿里巴巴旗下网站漏洞
没有评论:
发表评论