Pentesting eines E-Commerce-Unternehmens
Das Engagement
Das Szenario
Ein bekanntes E-Commerce-Unternehmen, das seine internen und externen Sicherheitsmaßnahmen verbessern wollte, beauftragte NextdoorSEC mit einer umfassenden Bewertung seiner Cybersecurity-Verteidigung.
Außerdem verlangten sie einen umfassenden Penetrationstest für ihre maßgeschneiderte Kundendienst-Webanwendung. Das Hauptziel des Unternehmens bestand darin, die Wirksamkeit seiner IT-Sicherheitskontrollen zum Schutz seiner Geschäftsgeheimnisse und Kundendaten zu bewerten und Einblicke in seine Systemschwachstellen und mögliche Gegenmaßnahmen zu gewinnen..
Die Zielsetzung
Die Ziele der Penetrationstests waren wie folgt
Externer Penetrationstest
- Einbruch in das System aus der Perspektive eines Außenstehenden, der einen unbekannten, böswilligen Angreifer imitiert
- Extrahieren von sensiblen Informationen wie Kontoinformationen, Kundendaten, Geschäftsgeheimnissen usw.
- Angriff auf die benutzerdefinierte Webanwendung, um Kundendaten zu extrahieren, ohne dass zuvor Anmeldedaten für das Konto bereitgestellt wurden
Interner Penetrationstest
- Angreifen und Kompromittieren sensibler Server, wie z. B. Dateiserver, Domänencontroller-Server und CRM-Server.
- Extrahieren sensibler Informationen, wie z. B. Zugangsdaten zu Konten, Kundendaten, Geschäftsgeheimnisse usw.
Alle Penetrationstests von NextdoorSEC wurden aus einer „Blackbox“-Perspektive durchgeführt, d.h. mit keinerlei anfänglichen Informationen über das Zielunternehmen, abgesehen von seinem Namen. Dieser Ansatz gewährleistet, dass die simulierten ethischen Hacking-Angriffe so realistisch wie möglich sind.
Der Prozess
NextdoorSEC verwendet dieselben Tools und Strategien, die von bösartigen Akteuren gegen Unternehmen eingesetzt werden. Dazu gehören manuelle und automatisierte Testmethoden unter Verwendung kundenspezifischer und branchenüblicher Tools.
Während des internen Penetrationstests wurde ein NextdoorSEC-Berater mit der vollen Zustimmung des IT-Managers vor Ort eingesetzt. Die Ergebnisse dieses Tests verblüfften den IT-Manager und die Geschäftsleitung des Unternehmens.
Für den externen Penetrationstest wurden einige der öffentlich zugänglichen Domänen und Dienste des Unternehmens, einschließlich der eigens entwickelten Webanwendung, ins Visier genommen, was zu beeindruckenden Ergebnissen führte.
Nach Abschluss der Tests erhielt das Unternehmen einen detaillierten Bericht, der eine Zusammenfassung, die technischen Ergebnisse und Empfehlungen zur Behebung der Probleme enthielt.
Ergebnisse
✅ Steuerung des Mauerseglersystems
Unsere Berater sicherten sich in nur einer Stunde den vollen Domänenadministrator-Zugang, der ihnen die Kontrolle über alle Computer und Server innerhalb des Unternehmensnetzwerks, wie Domänencontroller, Dateiserver und E-Mail-Server, gewährte.
✅ Beherrschung der Firewall
Die Berater von NextdoorSEC erhielten vollen administrativen Zugriff auf die zentrale Firewall des Unternehmens, so dass sie alle Sicherheitsregeln nach Bedarf ändern konnten und so eine zentrale Schwachstelle aufdeckten.
✅ Netzsteuerung in der Tasche
Unsere Berater erhielten vollen administrativen Zugriff auf die Netzwerkrouter des Unternehmens. In einem realen Angriffsszenario könnte ein böswilliger Akteur mit dieser Kontrollebene das gesamte Unternehmensnetzwerk manipulieren.
✅ Helpdesk-Imitation gelungen
Die Berater von NextdoorSEC versuchten erfolgreich, sich von einem externen Zugangspunkt aus als IT-Helpdesk des Unternehmens auszugeben und demonstrierten damit eine Methode, die ein böswilliger Angreifer nutzen könnte, um sich weiteren Zugang zu verschaffen und weitere zerstörerische Aktivitäten durchzuführen.
✅ Webserver und App-Übernahme
Unser Team verschaffte sich vollständigen administrativen Zugriff auf den Server, auf dem die vom Unternehmen entwickelte Webanwendung für den Kundendienst gehostet wird, sowie auf die Webanwendung selbst, was ein ernsthaftes Sicherheitsproblem darstellt.
Der PC eines IT-Managers wurde manipuliert
NextdoorSEC verschaffte sich erfolgreich vollen administrativen Zugriff auf den PC des IT-Managers, eine kritische Sicherheitsverletzung, die für das Unternehmen katastrophal wäre, wenn sie das Werk eines tatsächlichen Cyber-Angreifers wäre.
✅ Einbruch in das Telekommunikationssystem
NextdoorSEC erlangte vollständigen administrativen Zugang zu den PBX-Systemen des Unternehmens und deckte eine Schwachstelle auf, die es Angreifern ermöglichen könnte, Anrufe zu tätigen und aufzuzeichnen, Telefonanschlüsse zu erstellen und vieles mehr.
✅ Einbruch in die Chefetage
Unser Team erhielt vollen administrativen Zugriff auf alle PCs der leitenden Angestellten, eine Sicherheitslücke, die es Angreifern ermöglichen könnte, sensible Informationen zur Geschäftsstrategie zu erlangen.
✅ S ichern Sie Ihren elektronischen Handel: Buchen Sie noch heute einen Pen-Test!
Diese Ergebnisse unterstreichen die dringende Notwendigkeit robuster Sicherheitsmaßnahmen und regelmäßiger Penetrationstests, insbesondere für Unternehmen, die im Bereich des elektronischen Handels tätig sind. Durch solche Tests können Unternehmen potenzielle Sicherheitsschwachstellen erkennen und beheben und so ihre allgemeine Cybersicherheitslage verbessern.
Das Wort auf der Straße
Wir sind nicht Ihr durchschnittliches Sicherheitsunternehmen. Wir haben uns den Ruf erworben, maßgeschneiderte Lösungen für Unternehmen aller Größenordnungen zu liefern. Von kleinen Geschäften bis hin zu Tech-Start-ups - mit unserem Fachwissen sind Ihre Daten sicher und zuverlässig. Unsere Kunden schätzen unseren individuellen Ansatz und unser Engagement für Transparenz. Schließen Sie sich der Nextdoorsec-Familie an und seien Sie sicher, dass Ihre Sicherheit in guten Händen ist.
Nextdoorsec ist ein außergewöhnliches Sicherheitsunternehmen, das gründliche und detaillierte Berichte liefert, die leicht zu verstehen sind. Ihr Team verfügt über ein hohes Maß an Fachwissen und Reaktionsfähigkeit und ist stets bereit, Fragen zu beantworten und Anleitungen zur Behebung von Sicherheitslücken gemäß den bewährten Verfahren der Branche zu geben. Mit der Hilfe von Nextdoorsec waren wir in der Lage, zuvor unentdeckte Sicherheitslücken in unseren Systemen zu identifizieren und zu schließen, was uns ein größeres Vertrauen in unsere allgemeine Sicherheitslage gab. Wir empfehlen Nextdoorsec für alle Unternehmen, die ihre Sicherheitslage verbessern und ihre wertvollen Vermögenswerte schützen wollen.
Pieter van der Meer
Cloud Architekt
Nextdoorsec hat unsere Organisation mit erstklassigen Sicherheitsdienstleistungen versorgt. Ihr Team war unglaublich gründlich und professionell, und die Kommunikation war hervorragend. Sie hielten uns bei jedem Schritt des Prozesses auf dem Laufenden und standen uns jederzeit für Fragen zur Verfügung. Wir waren besonders beeindruckt von ihrem Engagement für Transparenz und ihrer Fähigkeit, umsetzbare Empfehlungen zur Verbesserung unserer Sicherheitslage zu geben. Wir würden Nextdoorsec jeder Organisation empfehlen, die ihre Sicherheit verbessern und ihre wertvollen Vermögenswerte schützen möchte.
Lars Jansen
CTO
Los geht's
Sind Sie bereit, Ihre Cyberabwehr zu verstärken und in der digitalen Welt neue Höhen zu erklimmen?
