外媒:以色列發現發現阿裡旗下網站漏洞

华尔街日报

text

據《華爾街日報》中文網報道,以色列的一家研究公司週三稱,阿裡巴巴集團(Alibaba Group)的國際線上交易平臺存在安全性漏洞,使得該網站上的商家及購物者面臨重大風險。對此,阿裡巴巴集團回應稱,已解決這一問題。

被發現存在安全性漏洞的這個網站名叫全球速賣通(AliExpress),是一個幫助中國商家向海外消費者出售商品的國際線上交易平臺,其消費者主要來自俄羅斯、巴西、西班牙和美國。

以色列應用安全公司AppSec Labs的創始人Erez Metula在接受電話採訪時稱,AppSec的研究人員發現全球速賣通存在一個弱點,黑客可以借此劫持商戶的帳號、更改價格、篡改發貨資訊並關閉商店。Metula稱,對於使用該網站的購物者來說,下單時間和地點以及發貨地址的細節也因該漏洞而被暴露。

Metula表示,他們將此稱為重大漏洞,因為這會影響到任何商家。他稱,這是一個知名度很高的網站,上面有許多商家,使用該網站的人也與其他系統相連接。但他說,該漏洞不會導致信用卡細節被暴露。

阿裡巴巴通過電子郵件發佈聲明稱,公司迅速採取了行動解決問題。

聲明稱,公司瞭解情況後立即採取了補救措施。阿裡巴巴表示,公司已修復潛在隱患,將繼續觀察事況發展;客戶的安全和隱私是公司第一要務,公司將盡一切努力繼續確保平臺的交易安全。

記者還問到以下問題:這些漏洞存在多久了?漏洞修復前是否有人利用了這些薄弱環節?阿裡巴巴以前是否收到過商戶/使用者就漏洞相關交易問題提出的報告或投訴?阿裡巴巴未立即就這些問題置評。

阿裡巴巴大部分收入來自中國市場的淘寶(Taobao)和天貓(Tmall),全球速賣通只占公司業務的一小部分。但這次漏洞事件可能讓外界開始在意阿裡巴巴其他服務的安全性,進而質疑該公司在保護上億使用者個人資訊方面的作為。阿裡巴巴9月份在美國上市,250億美元的IPO規模堪稱紀錄水準,公司也從此成為投資者和分析師的密切關注對象。

Metula稱,他的公司自10月份以來一直在試圖聯繫阿裡巴巴集團,通知其上述問題,但很難聯繫到該公司。阿裡巴巴沒有立即做出回應。

阿裡巴巴並未公佈該網站的用戶數量,但最近表示,截至6月30日的一年,該平臺的商品銷售額達45億美元。

另一位以色列研究人士、安全公司Cybermoon創始人Amitay Dan稱,他發現了另外一個缺陷,有可能在不知道帳戶密碼的情況下獲得速賣通買家的運輸地址。他說,這讓買家的隱私面臨風險。

Dan表示,可能洩露的是包裹運輸位址。包裹從一個地方運到另一個地方,被人們簽收。如果包裹可以找到一個人,那麼誰都可以找到他,行善或作惡。

暫時還不清楚阿裡巴巴其他的電子商務平臺,如淘寶網和天貓是否受到影響。兩位研究人士稱,他們沒有調查阿裡巴巴的其他平臺。

上述問題最初是以色列的Channel 10電視頻道報導的。