Leroy Merlin
Zusammenarbeit mit dem Sicherheitsteam von, um Risiken entsprechend ihren Bedürfnissen zu priorisieren
Herausforderung
- Die Implementierung von Websites, mobilen Apps und digitalenZahlungsmethoden zur Unterstützung des E-Commerce führt zueiner Erweiterung der Angriffsflächen.
- Kunden, die online einkaufen, setzen sich dem Risiko aus, dassihre Finanzkonten, personenbezogenen Daten (PII) undZahlungskarteninformationen kompromittiert werden.
- Angriffe führen zu Umsatz- und Glaubwürdigkeitsverlusten für diebetroffenen Einzelhändler.
Lösung
- Hadrians Attack Surface Management-Tools nutzten OpenSource-Datensammler und passive Datenquellen, um Assets zuidentifizieren, die Leroy Merlin zuvor unbekannt waren.
- Asset-übergreifende Tests analysierten Assets über mehrereCloud-Sharing-Anbieter und Domains hinweg und liefertenInformationen darüber, wie diese miteinander verknüpft waren.
- Fingerprinting technology contextualized assets by considering the language of the application, version and common vulnerabilitiesFingerprinting-Technologie kontextualisierte Assets, indem sieInformationen wie die Programmiersprache, Version und häufigeSchwachstellen berücksichtigte.
- Die gesammelten Erkenntnisse wurden verwendet, umeinzigartige Angriffspfade zu entwickeln, die auf die Angriffsflächevon Leroy Merlin zugeschnitten sind.
- Hadrian arbeitete mit dem Sicherheitsteam von Leroy Merlinzusammen, um Risiken in Übereinstimmung mit ihrenBedürfnissen zu priorisieren.
Ergebnis
Entdeckung vergessener Assets
Hadrian setzte Asset-Discovery-Tools mit dem ausdrücklichen Ziel ein,unbekannte Assets zu identifizieren. Im Fall von Leroy Merlin nutzteHadrian Vorkenntnisse über die Sicherheit im E-Commerce, um Toolseinzusetzen, die gezielt auf Bereiche abzielten, in denen sichhöchstwahrscheinlich vergessene Assets befinden.
Zum Beispiel lassen Anwendungsentwickler in der E-Commerce-Brancheoft versehentlich Administrationsseiten verfügbar, die Angreifern denZugriff auf sensible Verwaltungsfunktionen ermöglichen.
Hadrian nutzte diese Erkenntnis und setzte ein Hacking-Modul ein, dasdarauf ausgelegt ist, vergessene Administrationsverzeichnisse/-seiten zuidentifizieren.
{{quote-1}}
Entwicklung gezielter Tests zurIdentifizierung potenziellerDatenschutzverletzungen
Wenn ein vergessenes oder nicht überwachtes Assetidentifiziert wurde, nutzte Hadrian Open-Source-Informationenund seine eigene Logik, um relevante Angriffspfade zubestimmen. Gezielte Tests ermöglichten es Hadrian, dieSicherheit von Leroy Merlin zu überprüfen, ohne die ITInfrastruktur zu überlasten.
Im Fall der nicht überwachten Administrationsseite konnteHadrian den effektivsten Test bestimmen, indem der Kontext der Anwendung berücksichtigt wurde, insbesondere ihre Programmiersprache und ihr Framework. Hadrian führte einenTest durch, der häufig Risiken bei Assets mit ähnlichen Frameworks aufdeckte.
Der Test ergab Anmeldedaten für Datenbankpasswörter und die Google Cloud sowie Cookies, die sensibleBenutzerinformationen enthielten.
Event-basierte Technologie generiertkomplexe Angriffspfade
Hadrian wurde unter Verwendung von Event-gesteuerter (eventdriven) Technologie entwickelt. Event-gesteuertes Testen bedeutet, dass lange, komplizierte Angriffe in kleinere Komponenten zerlegtwerden, die in unterschiedlichen Sequenzen kombiniert werdenkönnen, was Flexibilität ermöglicht. Darüber hinaus lösen Erkenntnisse aus früheren Tests neue Module aus, was zu eineräußerst anpassungsfähigen Testmethodik führt. Die kleinerenKomponenten ermöglichen es Hadrian, sich an neue Erkenntnisse anzupassen.
Wenn Hadrian zum Beispiel die Cookies auf der Administrationsseiteentdeckt hat, hat es ein Hacking-Tool ausgelöst. Das Hacking-Toolnutzte die Cookies, um sich Zugang zu Konten zu verschaffen, diesensible Unternehmens- und Kundendaten enthielten.
Hadrian wird weiterhin Erkenntnisse sammeln und Tests als Reaktionauf Änderungen in der Angriffsfläche von Leroy Merlin durchführen.
Leroy Merlin Italien ist eineTochtergesellschaft von Adeound hat seinen Sitz in Mailand,Italien. Als Einzelhändler fürHeimwerker- und Gartenbedarfbedient Leroy Merlin Länder inEuropa, Südamerika und Afrika.
9000+
Beschäftigte
€ 7.5Mrd
Jahresumsatz
Kundengeschichten
Alle FallstudienBeginnen Sie noch heute Ihre Reise
Erleben Sie schnelleres, einfacheres und unkompliziertes automatisiertes Penetration Testing in einer schnellen 20-minütigen Demo.