Utmaning
En samhällsviktig aktör inom försäkringsbranschen kontaktade Certezza med uppdraget att säkerhetstesta en egenutvecklad webbapplikation. Syftet var att adressera oron för säkerhetsbrister som skulle kunna tillåta en användare av tjänsten att antingen läcka särskilt känsliga personuppgifter eller manipulera data i någon av databaserna.
Certezzas lösning
Certezzas expertkonsulter inledde uppdraget med ett uppstartsmöte där kunden fick en detaljerad förklaring av hur testet skulle genomföras, vilka ramverk och branschstandarder som ligger till grund för testmetoden, samt gemensamt definierade de specifika testmålen. Innan testerna påbörjades säkerställdes att alla nödvändiga rutiner och förberedelser var på plats, vilket för kunden innebar att ha tillgång till ordentliga backupper, en testmiljö och särskilda godkännanden från underleverantörer. Dessutom diskuterades säkra och snabba kommunikationsvägar, eventuell delrapportering samt tidsramar. Med dessa förberedelser kunde Certezza snabbt och effektivt påbörja tester anpassade efter kundens behov och förutsättningar
Som en del av uppdragets omfattande resultat kunde Certezza rapportera flera kritiska sårbarheter, inklusive två som skulle kunna låta en potentiell angripare ta kontroll över en registrerad användares konto. Dessutom identifierades en rad logiska buggar och brister som både exponerade känslig data och möjliggjorde manipulation av information – vilket bekräftade kundens farhågor. Utöver traditionella webbtester upptäckte Certezza även flera läckta artefakter kopplade till organisationen på internet, som kunden inte var medveten om. Bland dessa fanns läckt källkod som av misstag hade publicerats av en tjänsteleverantör.
Efter avslutade tester kunde Certezzas konsulter enkelt byta roll från angripare till försvarare och sammanställa en omfattande rapport med resultaten, sorterade efter risknivå. Rapporten inkluderade detaljerade beskrivningar av sårbarheterna, kompletterade med förevisningar och bilder, samt specifika rekommendationer för åtgärder. Ett möte bokades för en grundlig genomgång av rapporten med relevant personal och intressenter, vilket gav tillräckligt med tid för frågor och diskussioner. Efter uppdraget kunde organisationen påbörja arbetet med att omedelbart tillämpa de rekommenderade åtgärderna och åtgärda de identifierade logiska buggarna.
Resultat
Förbättrad säkerhet: Kritiska sårbarheter identifierades och åtgärdades, vilket gör att användardata numera skyddas bättre och potentiella intrång förhindras.
Effektiv åtgärdsplan: Detaljerad rapport med prioriterade rekommendationer möjliggjorde snabb och effektiv hantering av säkerhetsrisker.
Ekonomiska besparingar: Genom att åtgärda sårbarheter tidigt undvek företaget potentiella kostnader för dataintrång och reparationer.
Ökat Förtroende: Genom den omfattande rapporteringen och transparensen stärktes kundens förtroende för applikationens säkerhet.