Pentesting eines Fintech-Unternehmens
Das Engagement
Das Fintech-Unternehmen
NextdoorSEC wurde von einem bekannten Fintech-Unternehmen beauftragt, das eine benutzerfreundliche mobile Anwendung für Finanztransaktionen und Investitionen anbietet.
Das Unternehmen hatte sich einen guten Ruf für seine sicheren und effizienten Dienstleistungen erworben, wollte aber sicherstellen, dass seine App robust genug ist, um potenziellen Cyber-Bedrohungen zu widerstehen. Um diese Bedenken auszuräumen, wandte sich das Unternehmen an NextdoorSEC, das umfassende Penetrationstests durchführt.
Die Zielsetzung
Die primären Ziele der von NextdoorSEC durchgeführten Penetrationstests waren wie folgt:
Externer Penetrationstest
- Emulation eines realen Angriffs aus externen Quellen, Nachahmung der Taktik bösartiger Hacker ohne vorherige Kenntnis der Fintech-App.
- Der Versuch, Sicherheitslücken in den öffentlich zugänglichen Komponenten der App zu identifizieren und auszunutzen.
- Bewertung der Widerstandsfähigkeit der App gegen potenzielle DDoS-Angriffe (Distributed Denial of Service) und Datenverletzungen.
Interner Penetrationstest
- Simulation eines „Insider-Bedrohungsszenarios“, um die Abwehrmechanismen der App gegen potenzielle böswillige Handlungen von internen Mitarbeitern oder kompromittierten Konten zu bewerten.
- Zugang zu sensiblen Daten oder Verwaltungskontrollen, ohne Verdacht zu erregen.
- Bewertung der allgemeinen Sicherheitslage der internen Infrastruktur der Anwendung.
Die Prüfmethodik
NextdoorSEC setzte manuelle und automatisierte Testverfahren ein und nutzte dabei modernste Tools, die von Cyberkriminellen häufig verwendet werden. Der Testansatz wurde entwickelt, um reale Szenarien nachzustellen und die Sicherheit der App genau zu bewerten.
Der Testprozess wurde in einer kontrollierten Umgebung durchgeführt, um sicherzustellen, dass weder das Produktionssystem noch die Benutzerdaten Schaden nehmen. NextdoorSEC führte die Tests aus einer „Blackbox“-Perspektive durch, ohne vorheriges Wissen über die interne Architektur der App, was die Vorgehensweise echter Cyber-Angreifer widerspiegelt.
Ergebnisse
✅ Schwache Politik der Kontosperrung
Die Fintech-App verfügte nicht über eine solide Kontosperrung, so dass sie anfällig für Brute-Force-Angriffe auf Benutzerkonten war.
✅ Unsichere Datenspeicherung
Nutzerdaten, einschließlich persönlicher Informationen und Finanzdaten, waren im Speicher der App nicht ausreichend geschützt, so dass sie anfällig für unbefugten Zugriff oder Datenlecks waren.
✅ Fehlende Validierung der Eingaben
Der App fehlte eine ordnungsgemäße Eingabevalidierung, was sie anfällig für SQL-Injection-Angriffe machte, die zu einem nicht autorisierten Zugriff auf die Datenbank führen konnten.
✅ Unverschlüsselte Kommunikation
Die Kommunikation zwischen der App und dem Server war nicht ausreichend verschlüsselt, so dass sensible Nutzerdaten während der Übertragung möglicherweise abgefangen werden konnten.
✅ Unzureichendes Sitzungsmanagement
Die schwache Sitzungsverwaltung ermöglichte es Angreifern, Sitzungen zu entführen und sich als Person auszugeben, um so unbefugten Zugriff auf aktive Benutzersitzungen zu erhalten.
✅ Fehlkonfigurierte Zugangskontrollen
Bestimmte Teile der App gewährten unbefugten Benutzern übermäßige Rechte, was zu unbefugter Kontoübernahme oder Datenmanipulation führen konnte.
Offengelegte Debugging-Informationen
Die Anwendung gab unbeabsichtigt Debugging-Informationen preis, die Angreifern helfen könnten, die Schwachstellen der Anwendung auszunutzen.
✅ Anfällige Integrationen von Drittanbietern
Bei den Penetrationstests wurden Schwachstellen in einigen der von der Fintech-App genutzten Drittanbieter-Integrationen aufgedeckt. Insbesondere bestimmte Integrationen, wie Zahlungsgateways und Analysedienste, wiesen Sicherheitsschwächen auf. Böswillige Akteure könnten diese Schwachstellen ausnutzen, um unbefugten Zugriff auf sensible Finanzdaten zu erhalten oder die Funktionalität der App zu stören.
✅ Umgehung der Multi-Faktor-Authentifizierung (MFA)
Es wurde festgestellt, dass das MFA-System umgangen werden kann, so dass Angreifer unbefugten Zugriff auf Benutzerkonten erhalten können, ohne die erforderlichen zusätzlichen Authentifizierungsschritte durchzuführen.
Das Wort auf der Straße
Wir sind nicht Ihr durchschnittliches Sicherheitsunternehmen. Wir haben uns den Ruf erworben, maßgeschneiderte Lösungen für Unternehmen aller Größenordnungen zu liefern. Von kleinen Geschäften bis hin zu Tech-Start-ups - mit unserem Fachwissen sind Ihre Daten sicher und zuverlässig. Unsere Kunden schätzen unseren individuellen Ansatz und unser Engagement für Transparenz. Schließen Sie sich der Nextdoorsec-Familie an und seien Sie sicher, dass Ihre Sicherheit in guten Händen ist.
Nextdoorsec ist ein außergewöhnliches Sicherheitsunternehmen, das gründliche und detaillierte Berichte liefert, die leicht zu verstehen sind. Ihr Team verfügt über ein hohes Maß an Fachwissen und Reaktionsfähigkeit und ist stets bereit, Fragen zu beantworten und Anleitungen zur Behebung von Sicherheitslücken gemäß den bewährten Verfahren der Branche zu geben. Mit der Hilfe von Nextdoorsec waren wir in der Lage, zuvor unentdeckte Sicherheitslücken in unseren Systemen zu identifizieren und zu schließen, was uns ein größeres Vertrauen in unsere allgemeine Sicherheitslage gab. Wir empfehlen Nextdoorsec für alle Unternehmen, die ihre Sicherheitslage verbessern und ihre wertvollen Vermögenswerte schützen wollen.
Pieter van der Meer
Cloud Architekt
Nextdoorsec hat unsere Organisation mit erstklassigen Sicherheitsdienstleistungen versorgt. Ihr Team war unglaublich gründlich und professionell, und die Kommunikation war hervorragend. Sie hielten uns bei jedem Schritt des Prozesses auf dem Laufenden und standen uns jederzeit für Fragen zur Verfügung. Wir waren besonders beeindruckt von ihrem Engagement für Transparenz und ihrer Fähigkeit, umsetzbare Empfehlungen zur Verbesserung unserer Sicherheitslage zu geben. Wir würden Nextdoorsec jeder Organisation empfehlen, die ihre Sicherheit verbessern und ihre wertvollen Vermögenswerte schützen möchte.
Lars Jansen
CTO
Los geht's
Sind Sie bereit, Ihre Cyberabwehr zu verstärken und in der digitalen Welt neue Höhen zu erklimmen?
