Pentesting eines gemeinnützigen Unternehmens
Das Engagement
Das Szenario
Eine gemeinnützige Organisation, die sich auf die Bereitstellung von Bildungsressourcen für unterprivilegierte Gemeinschaften spezialisiert hat, um deren interne und externe Cybersicherheitsmaßnahmen zu stärken. Die Organisation hatte kürzlich neue IT-Sicherheitsprotokolle zum Schutz ihrer digitalen Infrastruktur eingeführt und wollte deren Wirksamkeit testen. Daher beauftragten sie NextdoorSEC mit der Durchführung externer und interner Penetrationstests und der Bewertung, ob ihre Investitionen in die IT-Sicherheit die gewünschten Ergebnisse gebracht hatten.
Die Zielsetzung
Zu den Zielen der von NextdoorSEC durchgeführten Penetrationstests gehörten:
Externer Penetrationstest:
- Das Eindringen in den digitalen Schutz des Unternehmens aus der Perspektive eines Außenstehenden ist vergleichbar mit einem böswilligen Hacker, der das Unternehmen nicht kennt.
- Aufdecken und Extrahieren sensibler Informationen, wie z. B. Anmeldedaten von Mitarbeitern, Spenderdaten und strategische Pläne.
- Bewertung der Sicherheit des drahtlosen Netzwerks der Organisation und ob es von außen ausgenutzt werden könnte.
Interner Penetrationstest:
- Anvisieren und Kompromittieren sensibler Server, z. B. von Spenderdatenbanken, Bildungsinhalten und Mitarbeiterdaten.
- Gewinnung sensibler Informationen, ohne bei den Mitarbeitern des Unternehmens Verdacht zu erregen.
- Nachstellen eines„ Insider-Bedrohungsszenarios„, um die möglichen Auswirkungen zu verstehen.
Die Herangehensweise
NextdoorSEC wandte verschiedene Strategien an, bei denen maßgeschneiderte und branchenübliche Tools zum Einsatz kamen, darunter manuelle und automatisierte Testverfahren. Die Penetrationstests wurden aus derBlackbox-Perspektive durchgeführt und spiegeln reale Szenarien wider, bei denen die Angreifer das Ziel nicht kennen.
Trotz der verbesserten IT-Sicherheitsmaßnahmen der Organisation zeigte der interne Penetrationstest einen Mangel an robuster interner Sicherheit. Der externe Penetrationstest konzentrierte sich auf öffentlich zugängliche Domänen und Dienste wie die Website des Unternehmens, E-Mail-Dienste und Fernzugriffssysteme, die aufschlussreiche Ergebnisse lieferten.
Nach der Fertigstellung stellte NextdoorSEC der Organisation einen umfassenden Bericht zur Verfügung, der eine Zusammenfassung, technische Erkenntnisse und Empfehlungen für Abhilfemaßnahmen enthielt.
Ergebnisse
Sicherheitslücke im Payment Gateway
Das Zahlungs-Gateway der Organisation war anfällig für eine kritische Sicherheitslücke, die es den Testern ermöglichte, Transaktionsdaten abzufangen und zu manipulieren.
✅ Übermäßiges Durchsickern von Informationen
Verschiedene Elemente der E-Commerce-Plattform gaben versehentlich zu viele Informationen über die IT-Infrastruktur des Unternehmens preis, was gezielte Angriffe begünstigen könnte.
✅ Ungesicherte Kundendaten
Die Tester von NextdoorSEC haben sich uneingeschränkten Zugang zur Kundendatenbank verschafft und dabei eine große Sicherheitslücke aufgedeckt, die es einem böswilligen Angreifer ermöglichen könnte, sensible Kundendaten zu stehlen.
✅ Administratorenzugang zu Webservern
Auf den Webservern der Organisation wurde ein vollständiger Administratorenzugang eingerichtet. Ein tatsächlicher Angreifer könnte die Website übernehmen oder bösartigen Code einspeisen.
✅ Administrativer Zugang zu den Systemen der Mitarbeiter
Die Mitarbeiter, die die E-Commerce-Plattform verwalteten, erhielten vollen Verwaltungszugang zu den Systemen. Dies könnte einem Angreifer ermöglichen, Produktlisten und Preise zu manipulieren und sogar Geld abzuschöpfen.
✅ Sicherheitslücken in Benutzerkontosystemen
Das System zur Verwaltung von Benutzerkonten war fehlerhaft, so dass ein Angreifer potenziell in der Lage war, Phantomkonten zu entführen oder zu erstellen.
Das Wort auf der Straße
Wir sind nicht Ihr durchschnittliches Sicherheitsunternehmen. Wir haben uns den Ruf erworben, maßgeschneiderte Lösungen für Unternehmen aller Größenordnungen zu liefern. Von kleinen Geschäften bis hin zu Tech-Start-ups - mit unserem Fachwissen sind Ihre Daten sicher und zuverlässig. Unsere Kunden schätzen unseren individuellen Ansatz und unser Engagement für Transparenz. Schließen Sie sich der Nextdoorsec-Familie an und seien Sie sicher, dass Ihre Sicherheit in guten Händen ist.
Nextdoorsec ist ein außergewöhnliches Sicherheitsunternehmen, das gründliche und detaillierte Berichte liefert, die leicht zu verstehen sind. Ihr Team verfügt über ein hohes Maß an Fachwissen und Reaktionsfähigkeit und ist stets bereit, Fragen zu beantworten und Anleitungen zur Behebung von Sicherheitslücken gemäß den bewährten Verfahren der Branche zu geben. Mit der Hilfe von Nextdoorsec waren wir in der Lage, zuvor unentdeckte Sicherheitslücken in unseren Systemen zu identifizieren und zu schließen, was uns ein größeres Vertrauen in unsere allgemeine Sicherheitslage gab. Wir empfehlen Nextdoorsec für alle Unternehmen, die ihre Sicherheitslage verbessern und ihre wertvollen Vermögenswerte schützen wollen.
Pieter van der Meer
Cloud Architekt
Nextdoorsec hat unsere Organisation mit erstklassigen Sicherheitsdienstleistungen versorgt. Ihr Team war unglaublich gründlich und professionell, und die Kommunikation war hervorragend. Sie hielten uns bei jedem Schritt des Prozesses auf dem Laufenden und standen uns jederzeit für Fragen zur Verfügung. Wir waren besonders beeindruckt von ihrem Engagement für Transparenz und ihrer Fähigkeit, umsetzbare Empfehlungen zur Verbesserung unserer Sicherheitslage zu geben. Wir würden Nextdoorsec jeder Organisation empfehlen, die ihre Sicherheit verbessern und ihre wertvollen Vermögenswerte schützen möchte.
Lars Jansen
CTO
Los geht's
Sind Sie bereit, Ihre Cyberabwehr zu verstärken und in der digitalen Welt neue Höhen zu erklimmen?
