Ein großes Finanzinstitut beauftragte uns mit der Sicherheitsprüfung seiner neuen mobilen Banking-App, um sensible Kundendaten und Finanztransaktionen zu schützen.
Table of contents
Herausforderungen und Risiken:
1. Schwachstellen in der Authentifizierung:
Unzureichende Mechanismen könnten es Angreifern ermöglichen, auf Konten zuzugreifen oder Transaktionen durchzuführen.
2. Anfälligkeit der Backend-Infrastruktur:
Schwachstellen könnten zu unbefugtem Zugriff oder Manipulation von Kundendaten führen.
3. API-Sicherheitslücken:
Ungesicherte Schnittstellen könnten Angriffe auf die Transaktionssysteme ermöglichen.
4. Mögliche Bedrohungen durch Phishing:
Unsichere Integrationen könnten von Angreifern ausgenutzt werden, um Nutzerinformationen abzufangen.
Vorgehen:
1. White-Box-Tests:
Der Quellcode wurde auf Schwachstellen in Authentifizierungs- und Zugriffsmechanismen geprüft.
2. Black-Box-Tests:
Simulierte Angriffe wurden durchgeführt, um Schwachstellen in der Benutzeroberfläche und den Backend-Systemen zu identifizieren.
3. Penetrationstests:
Die gesamte Infrastruktur der App, einschließlich API und Datenbanken, wurde auf Schwachstellen getestet.
4. Bewertung von Transaktions- und Verifizierungsprozessen:
Alle Prozesse wurden geprüft, um sicherzustellen, dass sie manipulationssicher und betrugssicher sind.
Ergebnisse:
- 23 Schwachstellen behoben: Darunter 3 als kritisch eingestufte Sicherheitslücken, die unbefugten Zugriff ermöglichten.
- Verbesserte Authentifizierungsmechanismen: Einführung stärkerer Mechanismen zum Schutz der Benutzerkonten und Transaktionen.
- Erhöhte API-Sicherheit: Alle API-Endpunkte wurden gehärtet, um unautorisierte Zugriffe zu verhindern.
- Compliance mit internationalen Standards: Die App erfüllte die strengen Sicherheitsanforderungen der Branche.