Cybersecurity
MERCEDES PAY є частиною транснаціонального автомобілебудівного концерну Daimler AG, який надає фінансові послуги своїм клієнтам, а також всередині компанії.
Проект було реалізовано у 2018 році. Перед нами стояло завдання протестувати на безпеку додаток для платежів, який розробила компанія: зробити тест на проникнення, перевірити зовнішню безпеку та, отримавши вихідний код, перевірити його на наявність логічних помилок та вразливостей всередині коду.
Над проектом працювало паралельно дві команди: наші спеціалісти та місцева команда з великої четвірки Pricewaterhouse Coopers.
Замовник хотів знайти всі можливі вразливості за допомогою двох паралельно працюючих команд.
Проект тривав близько трьох місяців. В результаті перевірки наша команда знайшла більше вразливостей, ніж Pricewaterhouse Coopers.
Також одним із наших завдань у цьому проекті було Open source intelligence, OSINT – збір інформації про клієнта з доступних ресурсів. Ми працювали за двома напрямками:
аналізували доступні ресурси (інтернет, соцмережі);
шукали інформацію про клієнта через ресурси, доступні лише фахівцям (дарк веб, зливи баз даних емейлів, паролів, тощо).
За результатами перевірки ми надали клієнту докладний звіт із тестування на проникнення та безпеку кодів. Звіт мав таку структуру: опис знайденої вразливості, де її знайдено і як це може вплинути на безпеку ресурсу чи програми, оцінка рівня загрози.
Рівень загрози визначається за кількома параметрами:
ймовірність походження вразливості
шкода, яку дана вразливість може завдати
частота повторення загрози
Будь-яку перевірку ми будуємо в кілька етапів. Знаходимо вразливості, робимо докладний звіт із рекомендаціями щодо покращення безпеки та усунення вразливостей. Після того, як клієнт впроваджує наші рекомендації, ми знову здійснюємо перевірку. У тестах на проникнення, ми використовуємо міжнародні стандарти, а також особисті напрацювання.
Також ми провели Open source intelligence. OSINT та частина нашого звіту складалися з того, що відомо про вразливість компанії в інтернеті.
