12月9日 21:00更新：

據官方反饋，阿里巴巴安全團隊已在第一時間修復該漏洞。

據國外媒體報道，阿里巴巴全球速賣通的網站上曝出安全漏洞，可能影響全球的數百萬用戶。攻擊者可以在不知道用戶賬戶密碼的情況下，利用該漏洞竊取到全球數百萬用戶的個人信息。

阿里巴巴全球速賣通是中國電子商務巨頭阿里巴巴旗下的一個終端批發零售商，它為全球超過200個國家和地區的3億用戶提供價廉物美的商品。該漏洞是由以色列應用程序安全研究員Amitay Dan發現的，在我們看到這一消息時他已經把該漏洞的信息提交給了阿里巴巴全球速賣通團隊。

任意用戶信息獲取

視頻地址：https://www.youtube.com/watch?v=yrXTwjxdARk

根據安全研究員提供的概念驗證視頻和截屏中顯示，阿里巴巴全球速賣通允許注冊的用戶使用下面的URL修改他們的收貨地址和聯系方式：

http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456

其中的123456是注冊用戶的ID。

如下圖，只需簡單更改mailingAddressId的參數值，該注冊id對應的用戶收貨地址、聯系方式等信息就會顯示出來。

攻擊者可使用自動化的腳本抓取mailingAddress.htm頁面上1到99999999999中所有可能的數字，并設為“收貨地址”的參數值，即可輕松的搜集到上百萬個阿里巴巴全球速賣通用戶的個人信息。