Pentesting eines gemeinnützigen Unternehmens
Das Engagement
Das Szenario
Eine gemeinnützige Organisation, die sich auf die Bereitstellung von Bildungsressourcen für unterprivilegierte Gemeinschaften spezialisiert hat, um deren interne und externe Cybersicherheitsmaßnahmen zu stärken. Die Organisation hatte kürzlich neue IT-Sicherheitsprotokolle zum Schutz ihrer digitalen Infrastruktur eingeführt und wollte deren Wirksamkeit testen. Daher beauftragten sie NextdoorSEC mit der Durchführung externer und interner Penetrationstests und der Bewertung, ob ihre Investitionen in die IT-Sicherheit die gewünschten Ergebnisse gebracht hatten.
Die Zielsetzung
Zu den Zielen der von NextdoorSEC durchgeführten Penetrationstests gehörten:
Externer Penetrationstest:
- Das Eindringen in den digitalen Schutz des Unternehmens aus der Perspektive eines Außenstehenden ist vergleichbar mit einem böswilligen Hacker, der das Unternehmen nicht kennt.
- Aufdecken und Extrahieren sensibler Informationen, wie z. B. Anmeldedaten von Mitarbeitern, Spenderdaten und strategische Pläne.
- Bewertung der Sicherheit des drahtlosen Netzwerks der Organisation und ob es von außen ausgenutzt werden könnte.
Interner Penetrationstest:
- Anvisieren und Kompromittieren sensibler Server, z. B. von Spenderdatenbanken, Bildungsinhalten und Mitarbeiterdaten.
- Gewinnung sensibler Informationen, ohne bei den Mitarbeitern des Unternehmens Verdacht zu erregen.
- Nachstellen eines“ Insider-Bedrohungsszenarios“, um die möglichen Auswirkungen zu verstehen.
Die Herangehensweise
NextdoorSEC wandte verschiedene Strategien an, bei denen maßgeschneiderte und branchenübliche Tools zum Einsatz kamen, darunter manuelle und automatisierte Testverfahren. Die Penetrationstests wurden aus derBlackbox-Perspektive durchgeführt und spiegeln reale Szenarien wider, bei denen die Angreifer das Ziel nicht kennen.
Trotz der verbesserten IT-Sicherheitsmaßnahmen der Organisation zeigte der interne Penetrationstest einen Mangel an robuster interner Sicherheit. Der externe Penetrationstest konzentrierte sich auf öffentlich zugängliche Domänen und Dienste wie die Website des Unternehmens, E-Mail-Dienste und Fernzugriffssysteme, die aufschlussreiche Ergebnisse lieferten.
Nach der Fertigstellung stellte NextdoorSEC der Organisation einen umfassenden Bericht zur Verfügung, der eine Zusammenfassung, technische Erkenntnisse und Empfehlungen für Abhilfemaßnahmen enthielt.
Ergebnisse
Sicherheitslücke im Payment Gateway
Das Zahlungs-Gateway der Organisation war anfällig für eine kritische Sicherheitslücke, die es den Testern ermöglichte, Transaktionsdaten abzufangen und zu manipulieren.
✅ Übermäßiges Durchsickern von Informationen
Verschiedene Elemente der E-Commerce-Plattform gaben versehentlich zu viele Informationen über die IT-Infrastruktur des Unternehmens preis, was gezielte Angriffe begünstigen könnte.
✅ Ungesicherte Kundendaten
Die Tester von NextdoorSEC haben sich uneingeschränkten Zugang zur Kundendatenbank verschafft und dabei eine große Sicherheitslücke aufgedeckt, die es einem böswilligen Angreifer ermöglichen könnte, sensible Kundendaten zu stehlen.
✅ Administratorenzugang zu Webservern
Auf den Webservern der Organisation wurde ein vollständiger Administratorenzugang eingerichtet. Ein tatsächlicher Angreifer könnte die Website übernehmen oder bösartigen Code einspeisen.
✅ Administrativer Zugang zu den Systemen der Mitarbeiter
Die Mitarbeiter, die die E-Commerce-Plattform verwalteten, erhielten vollen Verwaltungszugang zu den Systemen. Dies könnte einem Angreifer ermöglichen, Produktlisten und Preise zu manipulieren und sogar Geld abzuschöpfen.
✅ Sicherheitslücken in Benutzerkontosystemen
Das System zur Verwaltung von Benutzerkonten war fehlerhaft, so dass ein Angreifer potenziell in der Lage war, Phantomkonten zu entführen oder zu erstellen.
Word on the street
We're not like average security penetration testing companies. We've earned a reputation for delivering tailored solutions to businesses of all sizes. From mom-and-pop shops to tech startups, our expertise keeps your data safe and sound. Our clients appreciate our customized approach and commitment to transparency. Join the Nextdoorsec fam, one of the reliable vulnerability assessment companies and rest easy knowing your security is in good hands.
Nextdoorsec is an exceptional security company that provides thorough and detailed reports that are easy to understand. Their team is highly knowledgeable and responsive, always willing to answer any questions and provide guidance on how to properly address security vulnerabilities according to industry best practices. With Nextdoorsec's help, we were able to identify and address previously undetected security gaps in our systems, giving us greater confidence in our overall security posture. We highly recommend Nextdoorsec for any organization looking to improve their security posture and protect their valuable assets.
Pieter van der Meer
Cloud Architect
Nextdoorsec provided our organization with top-notch security services. Their team was incredibly thorough and professional, and their level of communication was outstanding. They kept us informed at every step of the process and were always available to answer any questions we had. We were particularly impressed with their commitment to transparency and their ability to provide actionable recommendations for improving our security posture. We would highly recommend Nextdoorsec to any organization looking to enhance their security and protect their valuable assets.
Lars Jansen
CTO
Get Started
Are you prepared to beef up your cyber defenses and soar to new heights in the digital world?