MERCEDES PAY

Проверка кода и тестирование на проникновение для электронной платежной системы
Cybersecurity Cybersecurity
Основная

Задача

MERCEDES PAY является частью транснационального автомобилестроительного концерна Daimler AG, которые оказывают финансовые услуги своим клиентам, а также внутри компании.

Проект был реализован в 2018 году. Перед нами стояла задача протестировать на безопасность приложение для платежей, которое разработала компания: сделать тест на проникновение, проверить внешнюю безопасность и, получив исходный код, проверить его на наличие логических ошибок и уязвимостей внутри кода.

Задача
ПРОЦЕСС

Сотрудничество с PricewaterhouseCoopers

Над проектом работало параллельно две команды: наши специалисты и местная команда из большой четверки Pricewaterhouse Coopers. 

Заказчик хотел найти всевозможные уязвимости при помощи двух параллельно работающих команд.

Проект длился около 3 месяцев. В результате проверки наша команда нашла бОльшее количество уязвимостей, чем Pricewaterhouse Coopers. 

Также одной из наших задач в этом проекте было Open source intelligence, OSINT – сбор информации о клиенте из доступных ресурсов. Мы работали по двум направлениям: 

  • анализировали доступные ресурсы – интернет, соцсети; 

  • искали информацию о клиенте через ресурсы, доступные только специалистам (дарк веб, сливы баз данных имейлов и паролей и тд). 

Сотрудничество с PricewaterhouseCoopers
Результаты

Выявленные уязвимости и процесс расследования

По результатам проверки мы предоставили клиенту подробный отчет по тестированию на проникновение и безопасности кодов. Отчет имел следующую структуру: описание найденной уязвимости, где она найдена и как это может повлиять на безопасность ресурса или приложения, оценка уровня угрозы. 

Уровень угрозы определяется несколькими параметрами: 

  • вероятность происхождения данной уязвимости

  • ущерб, который данная уязвимость может нанести 

  • частота повторения данной угрозы


Любую проверку мы строим в несколько этапов. Находим уязвимости, делаем подробный отчет с рекомендациями по улучшению безопасности и устранению уязвимостей. После того, как клиент внедряет наши рекомендации, мы снова осуществляем проверку. В тестах на проникновение эта ручная проверка, мы используем международные стандарты, а также личные наработки. 


Также мы провели Open source intelligence. OSINT и часть нашего отчета состояла из того, что известно об уязвимости компании в интернете. 

Выявленные уязвимости и процесс расследования

Другие проекты

Excited?

Расскажите нам немного про ваш проект.
Давайте начнем делать бизнес!

Дайте нам знать о вашем проекте, свяжитесь с нами в любое время!