Leroy Merlin

Défi

1. L'implémentation de sites web, d'applications mobiles et deméthodes de paiement numérique pour soutenir le commerceélectronique entraîne l'expansion des surfaces d'attaque
2. Les clients effectuant des achats en ligne s'exposent à descomptes financiers compromis, à des informationspersonnellement identifiables (PII) et à des informations de cartede paiement
3. Les attaques entraînent une perte de revenus et de crédibilitépour les détaillants impactés

Solution

• Les outils de gestion de la surface d'attaque de Hadrian ontutilisé des collecteurs de données open source et des sources dedonnées passives pour identifier des actifs auparavant inconnusde Leroy Merlin
• Les tests inter-actifs ont analysé des actifs à travers plusieursfournisseurs de partage cloud et domaines et ont fourni desinformations sur la manière dont ils étaient liés entre eux
• La technologie de fingerprinting a contextualisé les actifs enconsidérant la langue de l'application, la version et lesvulnérabilités communes
• Les informations collectées ont été utilisées pour développer deschemins d'attaque uniques adaptés à la surface d'attaque deLeroy Merlin
• Hadrian a collaboré avec l'équipe de sécurité de Leroy Merlinpour prioriser les risques en accord avec leurs besoins

Résultat

Découverte d'actifs oubliés

Hadrian deployed asset discovery tools with the express purpose of identifying unknown assets. In the case of Leroy Merlin, Hadrian used prior knowledge of e-commerce security to deploy tools that targeted areas most likely to contain forgotten assets.

For example, application developers in the e-commerce industry often accidentally leave administration pages available allowing attackers to access sensitive administration functions. Hadrian used this insight and deployed a hacking module designed to identify forgotten administration directories/pages.

Hadrian was able to identify a vulnerable endpoint with an unmonitored administration page.Hadrian a déployé des outils de découverte d'actifs avec le but express d'identifier des actifs inconnus. Dans le cas de Leroy Merlin, Hadrian a utilisé des connaissances préalables sur la sécurité du commerce électronique pour déployer des outils ciblant les zones les plus susceptibles de contenir des actifs oubliés.Par exemple, les développeurs d'applications dans l'industrie du commerce électronique laissent souvent par accident des pages d'administration accessibles, permettant aux attaquants d'accéder à des fonctions d'administration sensibles. Hadrian a utilisé cette perspective et déployé un module de piratage conçu pour identifier des répertoires/pages d'administration oubliés.Hadrian a pu identifier un point de terminaison vulnérable avec une page d'administration non surveillée.

{{quote-1}}

Développement de tests ciblés pour identifier les potentielles fuites de données

Lorsqu'un actif oublié ou non surveillé était identifié, Hadrian s'appuyait sur des informations open source et sa propre logique pour déterminer les chemins d'attaque pertinents. Les tests ciblés permettaient à Hadrian de valider la sécurité de Leroy Merlin sans surcharger l'infrastructure informatique.

Dans le cas de la page d'administration non surveillée, Hadrian a pu déterminer le test le plus efficace en considérant le contexte de l'application, spécifiquement son langage et son cadre. Hadrian a exécuté un test qui révélait souvent des risques sur des actifs avec des cadres similaires. Le test a révélé des identifiants pour les mots de passe de base de données et Google Cloud, ainsi que des cookies contenant des informations sensibles sur les utilisateurs.

La technologie d'événementiel génère des chemins d'attaque complexes

Hadrian a été construit en utilisant une technologie pilotée par les événements. Le test piloté par les événements signifie que les attaques longues et compliquées sont décomposées en composants plus petits qui peuvent être combinés dans différentes séquences, permettant une flexibilité. De plus, les informations recueillies lors des tests précédents déclenchent de nouveaux modules, résultant en une méthodologie de test qui est hautement adaptable. Les composants plus petits permettent à Hadrian de s'adapter au fur et à mesure que de nouvelles informations sont révélées.

Par exemple, lorsque Hadrian a découvert les cookies sur la page d'administration, cela a déclenché un outil de piratage. L'outil de piratage a utilisé les cookies pour accéder à des comptes contenant des informations sensibles sur l'entreprise et les clients.

Hadrian continuera à collecter des informations et à déployer des tests en réponse aux changements dans la surface d'attaque de Leroy Merlin.