La prueba pentest mostró que la aplicación web de FINOM está bien protegida. ITGLOBAL.COM el informe pentest fue aceptado y aprobado por el banco socio europeo de FINOM.
Acerca de FINOM
FINOM es una compañía financiera internacional con sede en Ámsterdam, Países Bajos. Brindan servicios financieros digitales a pequeñas y medianas empresas, como facturación, multibancaria, tarjetas virtuales,etc.
En este momento, la compañía trabaja con clientes de Italia, Francia y Alemania; pronto vendrán más países.
La Tarea
El portal web de FINOM es una aplicación de una sola página con cuentas personales para diferentes usuarios, incluidos los clientes corporativos. La cuenta personal almacena datos de diversa importancia, como cuentas bancarias, información sobre su saldo, tarjetas de pago y crédito, historial de pagos, etc. Usando la cuenta personal, un gerente puede administrar todos los procesos financieros de su empresa. Es por eso que la seguridad de este componente de servicio web en particular es fundamental.
[importante]
Andrey Varikov, CIO de FINOM:
“Europa tiene requisitos muy exigentes para la seguridad de los datos personales en virtud del GDPR (Reglamento General de Protección de Datos — nota del editor). Nos tomamos en serio estos requisitos y prestamos mucha atención para asegurarnos de que los datos personales se procesen de manera segura. Aunque FINOM es una startup, estamos construyendo nuestra infraestructura de tal manera que podamos garantizar un alto nivel de seguridad de TI.”
[/importante]
FINOM contactado ITGLOBAL.COM para evaluar la seguridad de sus cuentas personales con un pentest. Decidimos realizar un pentest de Caja Negra, donde los auditores solo tienen acceso a información de fuentes abiertas. Este tipo de pentest se basa en lo más parecido a una imitación perfecta de una serie de ciberataques que podemos obtener. Esto nos ayuda a evaluar con precisión qué tan resistente es el recurso web a ser pirateado desde el exterior.
Elegir un pentester
Según Andrey Varikov, al buscar un auditor, estaban analizando las calificaciones de pentesters en catálogos extranjeros especializados, los plazos y el costo del servicio.
El proceso de selección fue muy minucioso. Los especialistas en TI de FINOM tienen un amplio conocimiento del sector bancario, saben cómo se aseguran los servicios bancarios, cómo se realizan las pentest y qué debe saber y poder hacer un pentester.
[importante]
“Elegimos ITGLOBAL.COM por varias razones”, señaló Andrey. “La principal es que su empresa tiene una buena calificación; además de eso, la relación calidad-precio también fue importante para nosotros.”
[/importante]
Trabajos preparatorios
Antes de que nuestros especialistas comenzaran a trabajar, FINOM les otorgó acceso a servidores de prueba con cuentas precargadas con registros de inicio de sesión, datos personales virtuales y cuentas bancarias, y nos dio las direcciones de los servidores de producción.
Sin embargo, el ITGLOBAL.COM el equipo no conocía los detalles de los procesos de seguridad de la información de FINOM. En este sentido, FINOM es una de las empresas ejemplares en el mercado fintech.
- La aplicación web está protegida con herramientas comprobadas, como HTTPS y un certificado SSL. Además de eso, todas las cuentas de usuario tienen autenticación de dos factores, realizada con SMS o notificaciones push.
- El perímetro de información de FINOM está bien protegido. Solo puede conectarse a la intranet mediante una VPN. Solo unos pocos desarrolladores, los trabajadores más responsables del equipo de control de calidad, tienen acceso al código implementado. Cada proceso de implementación se verifica minuciosamente para que cumpla no solo con la lógica comercial, sino también con la política de seguridad. Ninguno de los desarrolladores tiene las claves del servidor de producción; se almacenan en un almacén de datos separado con acceso limitado para los administradores.
Proceso de prueba
- ITGLOBAL.COM reconocimiento realizado de la aplicación web de FINOM utilizando fuentes públicas;
- Determinó el nivel de seguridad del sitio web donde se aloja la aplicación, y analizó la seguridad de la configuración y ajustes del sitio web. ;
- Imitó varios ataques de diferentes tipos para identificar debilidades y la posibilidad de acceso no autorizado a una cuenta personal de FINOM. Los pentesters utilizaron métodos de piratería manual y utilidades especializadas que suelen utilizar los ciberdelincuentes: Nmap, DirB, Sqlmap, Metasploit, Hydra, etc.
Resultados
El pentest mostró varias vulnerabilidades no críticas, que el cliente abordó de inmediato.
[importante]
Alexander Zubrikov, ITGLOBAL.COM Jefe de Seguridad de la Información:
“La seguridad de FINOM es bastante buena. Solo encontramos una vulnerabilidad moderada: el número de versión del software se mostraba en el servidor web Nginx. Es probable que esta versión tenga una vulnerabilidad sin parchear. Si el atacante lo sabe, puede realizar un ataque exitoso y tal vez incluso obtener acceso completo al servidor. Pero, por supuesto, tienen que ser muy hábiles para hacer esto.”
[/importante]
Como señaló Andrey Varikov, los especialistas en TI de FINOM se sintieron halagados al saber que su servicio web estaba realmente bien protegido.
[importante]
“En general, nos gustó cómo fue el trabajo”, dijo Andrey. “Los especialistas no ocuparon mucho de nuestro tiempo e hicieron todo por su cuenta . Sabían lo que queríamos de inmediato.”
[/importante]
ITGLOBAL.COM los auditores prepararon un informe detallado de pentest. Este documento fue aceptado y aprobado por el banco socio europeo de FINOM.
Planes para el futuro
FINOM y ITGLOBAL.COM han decidido continuar cooperando. El siguiente paso es evaluar la seguridad de las aplicaciones Android e iOS de FINOM. Este tipo de pentest incluye analizar la arquitectura de la aplicación, la verificación de seguridad del código, las pruebas manuales, el fuzzing y otros métodos.