Group-IB подтвердила высокую защищенность CORREQTS
Одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества с использованием высоких технологий — Group-IB, провела анализ защищённости платформы CORREQTS Компании BSS в области информационной безопасности с целью выявления критических уязвимостей.
Тестирование проводилось методом «Серого ящика» — экспертам предоставлялся доступ к тестовой площадке с платформой CORREQTS версии 2.2.0 и учетным записям с ролями суперпользователя, менеджера, операциониста и клиента системы. Исследовались все доступные поля ввода данных, возможности по модификации служебных данных, поступающих в систему с атакующей стороны, а также интерфейсы взаимодействия с пользователем. В процессе анализа для защиты системы ДБО не применялись дополнительные защитные механизмы, и не предоставлялись исходные коды системы.
По итогам тестирования эксперты Group-IB отметили высокую защищенность платформы и подтвердили отсутствие критических уязвимостей. Аудит показал, что система дистанционного банковского обслуживания CORREQTS построена на платформе, позволяющей значительно снижать риск непреднамеренного написания уязвимого кода. Выявлены только две незначительные и легкоустранимые недоработки, не приводящие к утечке конфиденциальных данных. Они были оперативно устранены, что подтверждено результатами повторного аудита системы.
«Платформа CORREQTS Компании BSS использует модель «single page application», при которой обмен с серверной частью идет маленькими порциями информации по каждому событию без отправки платёжного поручения целиком, — отметил руководитель направления аудита и консалтинга Group-IB Андрей Брызгин, — К достоинствам данной модели можно отнести повышенную устойчивость к целому ряду атак, связанных с подделкой запросов».
«Проверка флагмана BSS, платформы CORREQTS, на наличие критических уязвимостей и степень информационной безопасности — это наша осознанная и принципиальная позиция, — подчеркивает директор по продажам Компании BSS Виталий Патешман. — Для нас важна объективная и беспристрастная оценка такого эксперта в области предотвращения киберпреступлений и мошенничества в сфере информационных технологий, как Группа компаний Group-IB, и мы удовлетворены результатами исследования. Уверен, их по достоинству оценят и наши клиенты»