Cybersecurity
MERCEDES PAY является частью транснационального автомобилестроительного концерна Daimler AG, которые оказывают финансовые услуги своим клиентам, а также внутри компании.
Проект был реализован в 2018 году. Перед нами стояла задача протестировать на безопасность приложение для платежей, которое разработала компания: сделать тест на проникновение, проверить внешнюю безопасность и, получив исходный код, проверить его на наличие логических ошибок и уязвимостей внутри кода.
Над проектом работало параллельно две команды: наши специалисты и местная команда из большой четверки Pricewaterhouse Coopers.
Заказчик хотел найти всевозможные уязвимости при помощи двух параллельно работающих команд.
Проект длился около 3 месяцев. В результате проверки наша команда нашла бОльшее количество уязвимостей, чем Pricewaterhouse Coopers.
Также одной из наших задач в этом проекте было Open source intelligence, OSINT – сбор информации о клиенте из доступных ресурсов. Мы работали по двум направлениям:
анализировали доступные ресурсы – интернет, соцсети;
искали информацию о клиенте через ресурсы, доступные только специалистам (дарк веб, сливы баз данных имейлов и паролей и тд).
По результатам проверки мы предоставили клиенту подробный отчет по тестированию на проникновение и безопасности кодов. Отчет имел следующую структуру: описание найденной уязвимости, где она найдена и как это может повлиять на безопасность ресурса или приложения, оценка уровня угрозы.
Уровень угрозы определяется несколькими параметрами:
вероятность происхождения данной уязвимости
ущерб, который данная уязвимость может нанести
частота повторения данной угрозы
Любую проверку мы строим в несколько этапов. Находим уязвимости, делаем подробный отчет с рекомендациями по улучшению безопасности и устранению уязвимостей. После того, как клиент внедряет наши рекомендации, мы снова осуществляем проверку. В тестах на проникновение эта ручная проверка, мы используем международные стандарты, а также личные наработки.
Также мы провели Open source intelligence. OSINT и часть нашего отчета состояла из того, что известно об уязвимости компании в интернете.
