Pentesting d’une entreprise à but non lucratif
Les fiançailles
Le scénario
Organisation à but non lucratif spécialisée dans la fourniture de ressources éducatives aux communautés défavorisées afin de renforcer leurs mesures de cybersécurité internes et externes. L’organisation a récemment mis en œuvre de nouveaux protocoles de sécurité informatique pour protéger son infrastructure numérique et souhaitait en tester l’efficacité. Ils ont donc engagé NextdoorSEC pour effectuer des tests de pénétration externes et internes et évaluer si leurs investissements dans la sécurité informatique avaient donné les résultats escomptés.
L’objectif
Les objectifs des tests de pénétration menés par NextdoorSEC étaient les suivants :
Test de pénétration externe :
- La violation des défenses numériques de l’organisation du point de vue d’une personne extérieure s’apparente à un pirate informatique malveillant qui n’a aucune connaissance préalable de l’organisation.
- Découvrir et extraire toute information sensible, telle que les identifiants de connexion du personnel, les coordonnées des donateurs et les plans stratégiques.
- Évaluer la sécurité du réseau sans fil de l’organisation et déterminer s’il peut être exploité de l’extérieur.
Test de pénétration interne :
- Cibler et compromettre les serveurs sensibles, tels que ceux qui contiennent les bases de données des donateurs, les contenus éducatifs et les dossiers du personnel.
- Extraire des informations sensibles sans éveiller les soupçons des employés de l’organisation.
- Emulation d’un scénario de“ menaceinterne ” pour en comprendre l’impact potentiel.
L’approche
NextdoorSEC a utilisé diverses stratégies en recourant à des outils personnalisés et à des outils standard, y compris des techniques de test manuelles et automatisées. Les tests de pénétration ont été réalisés du point de vue d’une“boîte noire“, reflétant des scénarios réels dans lesquels les attaquants ne connaissent pas la cible.
Malgré l’amélioration des mesures de sécurité informatique de l’organisation, le test de pénétration interne a révélé un manque de sécurité interne solide. Le test de pénétration externe s’est concentré sur les domaines et services publics tels que le site web de l’organisation, les services de courrier électronique et les systèmes d’accès à distance, ce qui a permis d’obtenir des résultats intéressants.
Une fois le projet achevé, NextdoorSEC a fourni à l’organisation un rapport complet comprenant un résumé, des conclusions techniques et des recommandations de remédiation.
Résultats
Vulnérabilité de la passerelle de paiement
La passerelle de paiement de l’organisation était susceptible de faire l’objet d’un exploit critique qui permettait aux testeurs d’intercepter et de manipuler les données de transaction.
✅ Fuite excessive d’informations
Divers éléments de la plateforme de commerce électronique ont révélé par inadvertance des informations excessives sur l’infrastructure informatique de l’organisation, ce qui pourrait faciliter les attaques ciblées.
Données clients non sécurisées
Les testeurs de NextdoorSEC ont obtenu un accès illimité à la base de données des clients, mettant en évidence une faille de sécurité majeure qui pourrait permettre à un attaquant malveillant de voler des informations sensibles sur les clients.
Accès de l’administrateur aux serveurs Web
Un accès administrateur complet a été obtenu sur les serveurs web de l’organisation. Un véritable attaquant pourrait prendre le contrôle du site web ou injecter un code malveillant.
Accès administrateur aux systèmes des employés
Un accès administrateur complet a été obtenu sur les systèmes utilisés par le personnel chargé de la gestion de la plateforme de commerce électronique. Cela pourrait permettre à un pirate de manipuler les listes de produits et les prix, voire de détourner des fonds.
Vulnérabilités dans les systèmes de comptes d’utilisateurs
Le système de gestion des comptes d’utilisateurs était défectueux, ce qui permettait potentiellement à un attaquant de détourner ou de créer des comptes fantômes.
Word on the street
We're not like average security penetration testing companies. We've earned a reputation for delivering tailored solutions to businesses of all sizes. From mom-and-pop shops to tech startups, our expertise keeps your data safe and sound. Our clients appreciate our customized approach and commitment to transparency. Join the Nextdoorsec fam, one of the reliable vulnerability assessment companies and rest easy knowing your security is in good hands.
Nextdoorsec is an exceptional security company that provides thorough and detailed reports that are easy to understand. Their team is highly knowledgeable and responsive, always willing to answer any questions and provide guidance on how to properly address security vulnerabilities according to industry best practices. With Nextdoorsec's help, we were able to identify and address previously undetected security gaps in our systems, giving us greater confidence in our overall security posture. We highly recommend Nextdoorsec for any organization looking to improve their security posture and protect their valuable assets.
Pieter van der Meer
Cloud Architect
Nextdoorsec provided our organization with top-notch security services. Their team was incredibly thorough and professional, and their level of communication was outstanding. They kept us informed at every step of the process and were always available to answer any questions we had. We were particularly impressed with their commitment to transparency and their ability to provide actionable recommendations for improving our security posture. We would highly recommend Nextdoorsec to any organization looking to enhance their security and protect their valuable assets.
Lars Jansen
CTO
Get Started
Are you prepared to beef up your cyber defenses and soar to new heights in the digital world?