בשיא עונת הקניות: פרצת אבטחה בעלי אקספרס
בצ'ק פוינט, שזיהו את הפרצה, אמרו כי היא אפשרה להאקרים לשתול קוד בפלטפורמת המכירה הגלובלית המקוונת ולבצע התקפות ממוקדות על המשתמשים. בעלי אקספרס תיקנו את הפרצה. צפו כיצד היה ניתן לגנוב את פרטי האשראי שלכם
כמה ימים לפני חגיגת הקניות של בלאק פריידיי (Black Friday) וכמה שבועות לפני הקניות בעולם לחג המולד, מפרסמת היום (ג') חברת צ'ק פוינט הישראלית כי זיהתה פרצת אבטחה חמורה באתר AliExpress (עלי אקספרס), המאפשרת לפושעי סייבר לגנוב את פרטי האשראי של הגולשים בקלות יתרה. צ'ק פוינט דיווחה על החולשות לעלי אקספרס, וזאת תיקנה אותן בתוך יומיים.
צפו איך פעלה השיטה:
בצ'ק פוינט אמרו כי החולשה באתר עלי אקספרס, שאותה זיהו דיקלה ברדה, רומן זאיקין ועודד ואנונו מצוות המחקר, אפשרה להאקרים לשתול קוד בפלטפורמת המכירה הגלובלית המקוונת, לתפעל את הקוד הפגיע מרחוק ולבצע התקפות ממוקדות על המשתמשים.
"תקופת 'חגי הקניות' שוברת שיאים שנה אחרי שנה. אנו מזהים בתקופה זאת פעילות ענפה של פושעי סייבר המנצלים חולשות לוגיות באתרי המסחר המקוונים הגדולים על מנת למנף ולהוציא לפועל הונאות סייבר", אמר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "על משתמשים לגלות ערנות יתרה בתקופה זו כאשר הם נתקלים בהצעות מפתות כמו קופונים או הנחות שכדי לממשם יש צורך בשיתוף מידע אישי". הוא הוסיף כי "אנו מאוד שמחים שעלי אקספרס הבינו את משמעות החולשה ותיקנו אותה באופן מיידי".
כדי לנצל את הפרצה ולתקוף קנייני רשת משתמש ההאקר בשיטת השיווק והמכירה של האתר - במקרה זה בשיטת שיווק המבוססת על קופונים ועל הניסיון לשמור את פרטי האשראי של המשתמש במערכת AliPay של עלי אקספרס. כל שעל ההאקר לעשות הוא לשלוח קישור לגיטימי לאתר עלי אקספרס, ולחיצה עליו גורמת לקוד הזדוני לעקוף את הגנות האתר.
באמצעות החולשות שנמצאו באתר יכול האקר לשלוט בתוכן שהמשתמש רואה והוא יכול להציג חלונית עם קופון מזויף בסך כך וכך דולרים. עם לחיצה על הקופון ומילוי פרטי האשראי יעברו הפרטים להאקר מייד.
לפנייה לכתב/ת 
