Customer's Penetration Test
Versione Italiana
Ciao a tutti, oggi volevo condividere con voi un successo del sircle #secops. Come tutti ormai sapete da circa un anno è iniziata l'attività di penetration test sulle web app interne di Sorint, ma non ci era mai capitata l'occasione di poterne effettuare una sull'infrastruttura di un cliente, fino a poche settimane fa.
Non potendo scendere nei dettagli vi faccio una rapida panoramica della situazione:
- il cliente eroga software e servizi IT come core business
- la web app contiene dati estremamente sensibili di vari partner del cliente e deve garantire l'anonimato nelle varie operazioni sulla piattaforma
- il cliente ci ha espressamente chiesto di "bucarli" il più possibile per testare il loro livello di sicurezza
Dopo un primo colloquio conoscitivo e la creazione dell'ambiente di test ci siamo messi subito all'opera; dalle prime analisi sommarie avevamo già riscontrato versione datate del web server, avente diverse vulnerabilità critiche e funzionalità dell'app a prima vista mal configurate.
Senza entrare nel merito dei dettagli tecnici, che vi annoierebbero, sappiate solamente che abbiamo dimostrato che potevamo leggere, modificare, cancellare i dati sensibili di tutti i loro clienti e partners commerciali che interagiscono con la web app, fino ad usare la loro applicazione come repository personale di file, dannosi e illegali!
Al termine dell'attività, durante la call di debriefing , ci è stata più volte sottolineata la loro soddisfazione nei nostri confronti, il cliente stesso ci ha ricordato :" Vi abbiamo chiesto di 'bucarci' e lo avete fatto sotto tutti i punti di vista, ottimo lavoro! ". Quest'attività ha permesso al cliente già di valutare un secondo penetration test, magari estendendo il perimetro dei test.
Come accennato all'inizio ciò si è dimostrato un successo, il primo nell'ambito dei penetration test verso i clienti, certi del fatto che ne seguiranno tanti altri!
Ancora un saluto dal vostro amichevole reporter di quartiere
English Version
Hi everyone, today I wanted to share with you a success story from circle #secops. As you all know, we have been penetration testing Sorint's internal web apps for about a year now, but we had never had the opportunity to carry out one on a customer's infrastructure until a few weeks ago.
Since I cannot go into detail, I will give you a quick overview of the situation:
- the customer provides software and IT services as its core business. -the web app contains extremely sensitive data of various partners of the customer and must guarantee anonymity in the various operations on the platform
- the customer expressly asked us to 'breach' them as much as possible to test their security level.
After an initial cognitive interview and the creation of the test environment, we immediately set to work; from the first cursory analyses, we had already found an outdated version of the web server, which had several critical vulnerabilities and app functionalities that were misconfigured at first glance.
Without going into the technical details, which would bore you, just know that we proved that we could read, modify, and delete the sensitive data of all their customers and business partners interacting with the web app, even to the extent of using their application as a personal repository of files, malicious and illegal!
At the end of the activity, during the debriefing call, their satisfaction with us was repeatedly emphasized, the customer himself reminded us: "We asked you to 'breach us' us and you did it in every respect, great job!
This activity has already allowed the customer to consider a second penetration test, perhaps extending the scope of the tests.
As mentioned at the beginning, this proved to be a success, the first in the area of customer penetration tests, certain that many more will follow!
Greetings again from your friendly neighbourhood reporter.