İletişim adresleri
Bir önceki sayfaya geri git
04.12.2020
#Security

Uluslararası Bir Finansal Hizmet Olan FINOM, Web Uygulamasını Pentest Ediyor

Sızma testi, FINOM’un web uygulamasının güvenli olduğunu gösterdi. ITGLOBAL.COM sızma testi raporu FINOM’un ortağı olan bir Avrupalı banka tarafından kabul edildi ve onaylandı.

FINOM Hakkında

FINOM, merkezi Amsterdam, Hollanda’da bulunan uluslararası bir finans şirketidir. Küçük ve orta ölçekli işletmelere faturalama, çoklu bankacılık, sanal kartlar gibi dijital finansal hizmetler sunmaktadır.

Şu anda şirket İtalya, Fransa ve Almanya’dan müşterilerle çalışıyor; yakında daha fazla ülke gelecek.

Görev

FINOM’un web portalı, kurumsal müşteriler de dahil olmak üzere farklı kullanıcılar için kişisel hesaplar içeren tek sayfalık bir uygulamadır. Kişisel hesap, banka hesapları, bakiye bilgileri, ödeme ve kredi kartları, ödeme geçmişi vb. gibi çeşitli öneme sahip verileri depolar. Bir yönetici, kişisel hesabı kullanarak şirketinin tüm finansal süreçlerini yönetebilir. Bu nedenle bu özel web hizmeti bileşeninin güvenliği kritik önem taşımaktadır.

Andrey Varikov, FINOM CIO’su:

“Avrupa’nın GDPR (Genel Veri Koruma Yönetmeliği – editörün notu) kapsamında kişisel veri güvenliği için çok zorlu gereksinimleri var. Bu gereklilikleri ciddiye alıyor ve kişisel verilerin güvenli bir şekilde işlendiğinden emin olmak için çok dikkatli davranıyoruz. FINOM bir startup olmasına rağmen, altyapımızı yüksek düzeyde BT güvenliği sağlayabilecek şekilde inşa ediyoruz.”

FINOM, kişisel hesaplarının güvenliğini bir pentest ile değerlendirmek için ITGLOBAL.COM ile iletişime geçti. Denetçilerin yalnızca açık kaynaklardan gelen bilgilere erişebildiği bir Kara Kutu pentesti yapmaya karar verdik. Bu tür bir pentest, bir dizi siber saldırının olabildiğince mükemmel bir taklidine dayanmaktadır. Bu, web kaynağının dışarıdan saldırıya uğramaya karşı ne kadar dirençli olduğunu doğru bir şekilde değerlendirmemize yardımcı olur.

Pentester seçimi

Andrey Varikov’a göre, bir denetçi ararken, uzmanlaşmış yabancı kataloglardaki pentesterlerin derecelendirmelerine, son teslim tarihlerine ve hizmet maliyetine bakıyorlardı.

Seçim süreci çok titizdi. FINOM’un BT uzmanları bankacılık sektörü hakkında geniş bilgiye sahipler, bankacılık hizmetlerinin nasıl güvence altına alındığını, pentestlerin nasıl yapıldığını ve bir pentesterin neleri bilmesi ve yapabilmesi gerektiğini biliyorlar.

Andrey, “ITGLOBAL.COM’u birkaç nedenden dolayı seçtik” dedi. “Bunlardan en önemlisi şirketlerinin iyi bir reytinge sahip olmasıydı; bunun da ötesinde kalite-fiyat oranı da bizim için önemliydi.”

Hazırlık çalışmaları

Uzmanlarımız çalışmalarına başlamadan önce FINOM onlara giriş kayıtları, sanal kişisel veriler ve banka hesapları ile önceden doldurulmuş hesapların bulunduğu test sunucularına erişim izni verdi ve bize üretim sunucularının adreslerini verdi.

Ancak ITGLOBAL.COM ekibi FINOM’un bilgi güvenliği süreçlerinin ayrıntılarını bilmiyordu. FINOM bu açıdan fintech pazarındaki örnek şirketlerden biri.

  • Web uygulaması, HTTPS ve SSL sertifikası gibi kanıtlanmış araçlarla güvence altına alınmıştır. Bunun da ötesinde, tüm kullanıcı hesapları SMS veya anlık bildirimlerle yapılan iki faktörlü kimlik doğrulamasına sahiptir.
  • FINOM’un bilgi çevresi iyi korunmaktadır. İntranete yalnızca bir VPN kullanarak bağlanabilirsiniz. Yalnızca birkaç geliştiricinin – QA ekibindeki en sorumlu çalışanlar – dağıtılan koda erişimi vardır. Her dağıtım işlemi yalnızca iş mantığına değil, aynı zamanda güvenlik politikasına da uygunluk açısından kapsamlı bir şekilde kontrol edilir. Geliştiricilerin hiçbiri üretim sunucusunun anahtarlarına sahip değildir; anahtarlar, yöneticilerin sınırlı erişimine sahip ayrı bir veri ambarında saklanmaktadır.

Test süreci

  • ITGLOBAL.COM, FINOM’un web uygulaması için kamuya açık kaynakları kullanarak keşif gerçekleştirdi;
  • Uygulamanın barındırıldığı web sitesinin güvenlik seviyesini belirlemiş ve web sitesinin yapılandırma ve ayarlarının güvenliğini analiz etmiştir;
  • Zayıflıkları ve FINOM kişisel hesabına yetkisiz erişim olasılığını belirlemek için farklı türlerde çeşitli saldırıları taklit etmiştir. Pentesterlar, manuel hackleme yöntemlerini ve siber suçlular tarafından sıklıkla kullanılan özel yardımcı programları kullandılar: Nmap, DirB, Sqlmap, Metasploit, Hydra vb.

Sonuçlar

Pentest, müşterinin derhal ele aldığı kritik olmayan birkaç güvenlik açığı gösterdi.

Alexander Zubrikov, ITGLOBAL.COM Bilgi Güvenliği Başkanı:

“FINOM’un güvenliği oldukça iyi. Sadece bir tane orta dereceli güvenlik açığı bulduk: Nginx web sunucusunda yazılım sürüm numarası görüntüleniyordu. Bu sürümün yamalanmamış bir güvenlik açığı olması muhtemeldir. Saldırgan bunu bilirse başarılı bir saldırı gerçekleştirebilir ve hatta sunucuya tam erişim sağlayabilir. Ancak elbette bunu yapmak için çok yetenekli olmaları gerekir.”

Andrey Varikov’un da belirttiği gibi, FINOM’un BT uzmanları web hizmetlerinin gerçekten iyi korunduğunu bilmekten gurur duydular.

Andrey, “Genel olarak işin gidişatını beğendik,” dedi. “Uzmanlar fazla zamanımızı almadılar ve her şeyi kendi başlarına yaptılar. Ne istediğimizi hemen anladılar.”

ITGLOBAL.COM denetçileri ayrıntılı bir pentest raporu hazırladı. Bu belge FINOM’un Avrupalı ortak bankası tarafından kabul edildi ve onaylandı.

Gelecek için planlar

FINOM ve ITGLOBAL.COM işbirliğine devam etme kararı almıştır. Bir sonraki adım FINOM’un Android ve iOS uygulamalarının güvenliğini değerlendirmektir. Bu tür bir pentest, uygulama mimarisinin analizini, kod güvenlik kontrolünü, manuel testi, fuzzing’i ve diğer yöntemleri içerir.

Web sitemiz, deneyiminizi geliştirmek için çerezler kullanır