Pentesting van een fintechbedrijf
De Verloving
De fintech onderneming
NextdoorSEC werd ingehuurd door een vooraanstaand fintech bedrijf dat een gebruiksvriendelijke mobiele applicatie biedt voor financiële transacties en investeringen.
Het bedrijf had een sterke reputatie opgebouwd voor zijn veilige en efficiënte diensten, maar wilde er zeker van zijn dat zijn app robuust genoeg was om potentiële cyberbedreigingen te weerstaan. Om dit probleem aan te pakken, zochten ze de expertise van NextdoorSEC in het uitvoeren van uitgebreide penetratietests.
Het doel
De primaire doelstellingen van de penetratietests die door NextdoorSEC werden uitgevoerd, waren als volgt:
Externe penetratietest
- Het nabootsen van een echte aanval vanuit externe bronnen, waarbij de tactieken van kwaadwillende hackers zonder voorkennis van de fintech-app worden nagebootst.
- Proberen kwetsbaarheden in de beveiliging van publieke onderdelen van de app te identificeren en te misbruiken.
- Beoordelen van de veerkracht van de app tegen mogelijke DDoS-aanvallen (Distributed Denial of Service) en datalekken.
Interne penetratietest
- Simuleren van een “insider threat” scenario om de verdedigingsmechanismen van de app tegen mogelijke kwaadaardige acties door intern personeel of gecompromitteerde accounts te evalueren.
- Toegang krijgen tot gevoelige gegevens of administratieve controles zonder argwaan te wekken.
- De algehele beveiligingsstatus van de interne infrastructuur van de app beoordelen.
De testmethodologie
NextdoorSEC gebruikte handmatige en geautomatiseerde testtechnieken, waarbij gebruik werd gemaakt van geavanceerde tools die vaak door cybercriminelen worden gebruikt. De testaanpak is ontworpen om realistische scenario’s na te bootsen en de beveiliging van de app nauwkeurig te beoordelen.
Het testproces werd uitgevoerd in een gecontroleerde omgeving, zodat het productiesysteem of de gebruikersgegevens geen schade opliepen. NextdoorSEC voerde de tests uit vanuit een ‘blackbox’-perspectief, zonder voorkennis van de interne architectuur van de app, wat de aanpak van echte cyberaanvallers weerspiegelt.
Resultaten
Zwak beleid voor blokkering van accounts
De fintech app had geen robuust beleid voor het blokkeren van accounts, waardoor het vatbaar was voor brute-force aanvallen op gebruikersaccounts.
Onveilige gegevensopslag
Gebruikersgegevens, waaronder persoonlijke informatie en financiële gegevens, waren onvoldoende beschermd in de opslag van de app, waardoor ze kwetsbaar waren voor onbevoegde toegang of datalekken.
✅ Gebrek aan invoervalidatie
In de app ontbrak de juiste invoervalidatie, waardoor deze vatbaar was voor SQL-injectieaanvallen, die konden leiden tot onbevoegde toegang tot de database.
Onversleutelde communicatie
De communicatie tussen de app en de server was niet voldoende versleuteld, waardoor gevoelige gebruikersgegevens mogelijk werden onderschept tijdens de overdracht.
✅ O nvoldoende sessiebeheer
Zwak sessiebeheer maakte sessiekaping en imitatie mogelijk, waardoor aanvallers ongeautoriseerde toegang konden krijgen tot actieve gebruikerssessies.
Verkeerd geconfigureerde toegangscontroles
Bepaalde delen van de app verleenden buitensporige privileges aan onbevoegde gebruikers, wat mogelijk leidde tot onbevoegde accountovername of gegevensmanipulatie.
Blootgestelde foutopsporingsinformatie
De app gaf onbedoeld debug-informatie vrij, die aanvallers kon helpen bij het uitbuiten van de kwetsbaarheden van de app.
Kwetsbare integraties met derden
De penetratietest bracht kwetsbaarheden aan het licht in sommige integraties met derden die door de fintech-app werden gebruikt. Met name specifieke integraties, zoals betalingsgateways en analyseservices, bleken zwakke plekken in de beveiliging te bevatten. Kwaadwillenden kunnen deze kwetsbaarheden misbruiken om ongeautoriseerde toegang te krijgen tot gevoelige financiële gegevens of om de functionaliteit van de app te verstoren.
Multi-Factor Authenticatie (MFA) omzeilen
Het MFA-systeem bleek omzeild te kunnen worden, waardoor aanvallers ongeautoriseerde toegang tot gebruikersaccounts konden krijgen zonder de vereiste extra authenticatiestappen uit te voeren.
Woord op straat
Wij zijn geen doorsnee beveiligingsbedrijf. Wij hebben een reputatie opgebouwd voor het leveren van oplossingen op maat voor bedrijven van elke omvang. Van kleine winkels tot startende technologiebedrijven, onze expertise houdt uw gegevens veilig en gezond. Onze cliënten waarderen onze aanpak op maat en ons streven naar transparantie. Sluit u aan bij de Nextdoorsec fam. en weet dat uw veiligheid in goede handen is.
Nextdoorsec is een uitzonderlijk beveiligingsbedrijf dat grondige en gedetailleerde rapporten levert die gemakkelijk te begrijpen zijn. Hun team is zeer deskundig en responsief, altijd bereid om vragen te beantwoorden en advies te geven over de juiste aanpak van beveiligingsproblemen volgens de beste praktijken in de sector. Met de hulp van Nextdoorsec konden we voorheen onopgemerkte beveiligingslekken in onze systemen identificeren en aanpakken, waardoor we meer vertrouwen kregen in onze algehele beveiliging. Wij bevelen Nextdoorsec ten zeerste aan voor elke organisatie die zijn beveiligingspositie wil verbeteren en zijn waardevolle activa wil beschermen.
Pieter van der Meer
Cloud Architect
Nextdoorsec heeft onze organisatie voorzien van eersteklas beveiligingsdiensten. Hun team was ongelooflijk grondig en professioneel, en hun niveau van communicatie was uitstekend. Ze hielden ons bij elke stap van het proces op de hoogte en waren altijd beschikbaar om onze vragen te beantwoorden. We waren vooral onder de indruk van hun inzet voor transparantie en hun vermogen om bruikbare aanbevelingen te doen voor het verbeteren van onze beveiliging. Wij zouden Nextdoorsec ten zeerste aanbevelen aan elke organisatie die zijn beveiliging wil verbeteren en zijn waardevolle activa wil beschermen.
Lars Jansen
CTO
Aan de slag
Bent u bereid uw cyberdefensie te versterken en nieuwe hoogten te bereiken in de digitale wereld?
