פרסום ראשון: מומחי אבטחה ישראלים גילו פרצת אבטחה באתרי עלי אקספרס של ענקית הקניות עליבאבא, שחושפת את מאגר המשתמשים שיכול להגיע למיליוני משתמשים באתר הקניות ברחבי העולם. המומחים הישראלים אמנם ניסו להזהיר, אבל החברה עדיין לא הגיבה.

אמיתי דן, חוקר אבטחת מידע ובלוגר, וברק טוילי, מומחה לאבטחת אפליקציות, חשפו את הפירצה באתר הסיני "עלי אקספרס".

בדפדוף אקראי, באמצעות שינוי הספרות בכתובת האינטרנט של פרופיל משתמש באתר (שבפועל יכול להיות מזויף), ניתן להגיע לפרופילים המלאים של כל המשתמשים באתר, מאות מיליוני גולשים מעשרות מדינות - שם, כתובת מלאה, טלפון. זאת, ללא ביצוע כל פעילות "האקרית" מיוחדת. המשמעות: חברות מתחרות יכולות לשלוח מיילים למשתמשי עלי-באבא, האקר בעל כישורי פריצה לא מתוחכמים במיוחד יוכל בקלות להגיע לכל הרוכשים מארץ מסוימת או לחפש דמות ספציפית, וכמובן, מדובר במידע שמעורר תמיהה לגבי אתר המחזיק פרטים של מיליוני משתמשים ברחבי העולם ועלול להעיד על רשלנות.

כמו כן, לפני למעלה מחודש אותרה פירצה נוספת, שדרכה ניתן להגיע לכל הפרופילים של המוכרים באתר, ואף לבצע בהם השתלטות חיצונית באמצעות פעולה לא מסובכת. לאחר מכן נשלח מייל לעלי-באבא על מנת שיתקנו את הפירצה בדחיפות, אך הבעיה לא תוקנה, ולא ניתן על ההתרעה כל מענה.

את תגובת מטה עליבאבא העולמית לא ניתן היה להשיג. יועץ של החברה מסר לנו ממשרדו בניו יורק, כי לא ניתן לקבל תגובה בשלב זה.

להיכנס ללינק הזה:
http://feedback.aliexpress.com/display/detail.htm?ownerMemberId=195247438&memberType=buyer

נסו לשנות 2-3 ספרות אחרונות בתוך הלינק.

וואי וואי וואיי תזהרו, אני כבר רואה סוכני ממשל סיני בודקים את הפידבקים שלכם.
אם נתתם פידבק שלילי ישלחו לכם שני סינים עם כינור גדול.

אוקצור: טמטום ישראלי מתקדם.
או עוד נסיון כושל תוצרת מוסדית לפגוע בייבוא מסין.