Pentesting eines Fintech-Unternehmens
Das Engagement
Das Fintech-Unternehmen
NextdoorSEC wurde von einem bekannten Fintech-Unternehmen beauftragt, das eine benutzerfreundliche mobile Anwendung für Finanztransaktionen und Investitionen anbietet.
Das Unternehmen hatte sich einen guten Ruf für seine sicheren und effizienten Dienstleistungen erworben, wollte aber sicherstellen, dass seine App robust genug ist, um potenziellen Cyber-Bedrohungen zu widerstehen. Um diese Bedenken auszuräumen, wandte sich das Unternehmen an NextdoorSEC, das umfassende Penetrationstests durchführt.
Die Zielsetzung
Die primären Ziele der von NextdoorSEC durchgeführten Penetrationstests waren wie folgt:
Externer Penetrationstest
- Emulation eines realen Angriffs aus externen Quellen, Nachahmung der Taktik bösartiger Hacker ohne vorherige Kenntnis der Fintech-App.
- Der Versuch, Sicherheitslücken in den öffentlich zugänglichen Komponenten der App zu identifizieren und auszunutzen.
- Bewertung der Widerstandsfähigkeit der App gegen potenzielle DDoS-Angriffe (Distributed Denial of Service) und Datenverletzungen.
Interner Penetrationstest
- Simulation eines “Insider-Bedrohungsszenarios”, um die Abwehrmechanismen der App gegen potenzielle böswillige Handlungen von internen Mitarbeitern oder kompromittierten Konten zu bewerten.
- Zugang zu sensiblen Daten oder Verwaltungskontrollen, ohne Verdacht zu erregen.
- Bewertung der allgemeinen Sicherheitslage der internen Infrastruktur der Anwendung.
Die Prüfmethodik
NextdoorSEC setzte manuelle und automatisierte Testverfahren ein und nutzte dabei modernste Tools, die von Cyberkriminellen häufig verwendet werden. Der Testansatz wurde entwickelt, um reale Szenarien nachzustellen und die Sicherheit der App genau zu bewerten.
Der Testprozess wurde in einer kontrollierten Umgebung durchgeführt, um sicherzustellen, dass weder das Produktionssystem noch die Benutzerdaten Schaden nehmen. NextdoorSEC führte die Tests aus einer “Blackbox”-Perspektive durch, ohne vorheriges Wissen über die interne Architektur der App, was die Vorgehensweise echter Cyber-Angreifer widerspiegelt.
Ergebnisse
✅ Schwache Politik der Kontosperrung
Die Fintech-App verfügte nicht über eine solide Kontosperrung, so dass sie anfällig für Brute-Force-Angriffe auf Benutzerkonten war.
✅ Unsichere Datenspeicherung
Nutzerdaten, einschließlich persönlicher Informationen und Finanzdaten, waren im Speicher der App nicht ausreichend geschützt, so dass sie anfällig für unbefugten Zugriff oder Datenlecks waren.
✅ Fehlende Validierung der Eingaben
Der App fehlte eine ordnungsgemäße Eingabevalidierung, was sie anfällig für SQL-Injection-Angriffe machte, die zu einem nicht autorisierten Zugriff auf die Datenbank führen konnten.
✅ Unverschlüsselte Kommunikation
Die Kommunikation zwischen der App und dem Server war nicht ausreichend verschlüsselt, so dass sensible Nutzerdaten während der Übertragung möglicherweise abgefangen werden konnten.
✅ Unzureichendes Sitzungsmanagement
Die schwache Sitzungsverwaltung ermöglichte es Angreifern, Sitzungen zu entführen und sich als Person auszugeben, um so unbefugten Zugriff auf aktive Benutzersitzungen zu erhalten.
✅ Fehlkonfigurierte Zugangskontrollen
Bestimmte Teile der App gewährten unbefugten Benutzern übermäßige Rechte, was zu unbefugter Kontoübernahme oder Datenmanipulation führen konnte.
Offengelegte Debugging-Informationen
Die Anwendung gab unbeabsichtigt Debugging-Informationen preis, die Angreifern helfen könnten, die Schwachstellen der Anwendung auszunutzen.
✅ Anfällige Integrationen von Drittanbietern
Bei den Penetrationstests wurden Schwachstellen in einigen der von der Fintech-App genutzten Drittanbieter-Integrationen aufgedeckt. Insbesondere bestimmte Integrationen, wie Zahlungsgateways und Analysedienste, wiesen Sicherheitsschwächen auf. Böswillige Akteure könnten diese Schwachstellen ausnutzen, um unbefugten Zugriff auf sensible Finanzdaten zu erhalten oder die Funktionalität der App zu stören.
✅ Umgehung der Multi-Faktor-Authentifizierung (MFA)
Es wurde festgestellt, dass das MFA-System umgangen werden kann, so dass Angreifer unbefugten Zugriff auf Benutzerkonten erhalten können, ohne die erforderlichen zusätzlichen Authentifizierungsschritte durchzuführen.
Word on the street
We're not like average security penetration testing companies. We've earned a reputation for delivering tailored solutions to businesses of all sizes. From mom-and-pop shops to tech startups, our expertise keeps your data safe and sound. Our clients appreciate our customized approach and commitment to transparency. Join the Nextdoorsec fam, one of the reliable vulnerability assessment companies and rest easy knowing your security is in good hands.
Nextdoorsec is an exceptional security company that provides thorough and detailed reports that are easy to understand. Their team is highly knowledgeable and responsive, always willing to answer any questions and provide guidance on how to properly address security vulnerabilities according to industry best practices. With Nextdoorsec's help, we were able to identify and address previously undetected security gaps in our systems, giving us greater confidence in our overall security posture. We highly recommend Nextdoorsec for any organization looking to improve their security posture and protect their valuable assets.
Pieter van der Meer
Cloud Architect
Nextdoorsec provided our organization with top-notch security services. Their team was incredibly thorough and professional, and their level of communication was outstanding. They kept us informed at every step of the process and were always available to answer any questions we had. We were particularly impressed with their commitment to transparency and their ability to provide actionable recommendations for improving our security posture. We would highly recommend Nextdoorsec to any organization looking to enhance their security and protect their valuable assets.
Lars Jansen
CTO
Get Started
Are you prepared to beef up your cyber defenses and soar to new heights in the digital world?