点击标题下方蓝色 电子商务研究中心 关注我们；点击页面右上方分享文章。

　　据国外媒体报道，阿里巴巴全球速卖通的网站上曝出安全漏洞，可能影响全球的数百万用户。攻击者可以在不知道用户账户密码的情况下，利用该漏洞窃取到全球数百万用户的个人信息。

　　阿里巴巴全球速卖通是中国电子商务巨头阿里巴巴旗下的一个终端批发零售商，它为全球超过200个国家和地区的3亿用户提供价廉物美的商品。该漏洞是由以色列应用程序安全研究员Amitay Dan发现的，在我们看到这一消息时他已经把该漏洞的信息提交给了阿里巴巴全球速卖通团队。

　　任意用户信息获取

　　视频地址：https://www.youtube.com/watch?v=yrXTwjxdARk

　　根据安全研究员提供的概念验证视频和截屏中显示，阿里巴巴全球速卖通允许注册的用户使用下面的URL修改他们的收货地址和联系方式：

　　trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

其中的123456是注册用户的ID。

　　如下图，只需简单更改mailingAddressId的参数值，该注册id对应的用户收货地址、联系方式等信息就会显示出来。

　　攻击者可使用自动化的脚本抓取mailingAddress.htm页面上1到99999999999中所有可能的数字，并设为“收货地址”的参数值，即可轻松的搜集到上百万个阿里巴巴全球速卖通用户的个人信息。

　　该漏洞已经报告给了阿里巴巴全球速卖通团队了，据官方反馈，阿里巴巴安全团队已在第一时间修复该漏洞。（来源：FreeBuf）

　　欲获取更多电商行业资讯，敬请关注中国行业电商网 www.100ec.cn/zt/trade/

=== 中国电子商务研究中心（100EC.CN）===

【关于中心】中国电子商务研究中心，是我国电商行业专业第三方研究与服务机构，并运营国内最大电子商务新闻门户网(100EC.CN)。
【微信推荐】
（1）“网购投诉与维权公共服务平台”微信投诉通道——“网购投诉平台”(微信号:DSWQ315)
（2）互联网金融从业者、“宝宝”理财必备利器——“互联网金融时代”（微信号:hlwjrsd100）
【投稿/合作】news@netsun.com，0571/87756579。
》》欲查看更多一手电商新闻与行业数据报告，点击下方↓【阅读原文】↓