КЕЙСЫ
Заказчик
Услуга
ЗАРУБЕЖНЫЙ БАНК
ПЕНТЕСТ
Провести пентест ИБ-инфраструктуры.
ЗАДАЧА
РЕЗУЛЬТАТ
Вся инфраструктура оказалась под нашим управлением. Мы могли переводить деньги со счета на счет, устанавливать любую сумму на баланс, контролировать платежные системы и проекты.
РЕШЕНИЕ
В инфраструктуре заказчика строго разграничена сеть, сотрудники не имеют доступа в интернет с рабочих устройств. Поэтому нам пришлось потрудиться, чтобы попасть из одного сегмента в другой.
Слабым звеном оказался человеческий фактор. Администратор предоставил себе доступ к корпоративной почте через личное устройство. Он поставил прокси-сервер и использовал пароль от своей учетки, от домена. А раз он – администратор этого домена, мы автоматически получили доступ везде.
Но даже если бы сотрудник не допустил такой ошибки, мы бы воспользовались уязвимостями на сайте. Однако они были крайне неприметными, пришлось потратить много времени, чтобы найти их.
Слабым звеном оказался человеческий фактор. Администратор предоставил себе доступ к корпоративной почте через личное устройство. Он поставил прокси-сервер и использовал пароль от своей учетки, от домена. А раз он – администратор этого домена, мы автоматически получили доступ везде.
Но даже если бы сотрудник не допустил такой ошибки, мы бы воспользовались уязвимостями на сайте. Однако они были крайне неприметными, пришлось потратить много времени, чтобы найти их.