Leroy Merlin

Sfida

1. L’implementazione di siti web, app mobili e metodi di pagamentodigitale a supporto degli ecommerce ha generato unampliamento delle superfici di attacco
2. I clienti che effettuano acquisti online si espongono allacompromissione di conti finanziari, dati personali e informazionidi pagamento
3. Gli attacchi implicano una perdita di ricavi e credibilità per irivenditori che li subiscono

Soluzione

• Tramite i suoi strumenti di gestione della superficie di attacco,Hadrian ha utilizzato raccoglitori di dati open source e origini didati passivi per identificare asset precedentemente ignoti a LeroyMerlin
• I test cross-asset hanno analizzato gli asset di vari fornitori diservizi cloud e domini e hanno evidenziato come sono collegatitra di loro
• Il fingerprinting ha contestualizzato gli asset prendendo inconsiderazione il linguaggio dell’applicazione, la versione e levulnerabilità in comune
• I dati raccolti sono stati utilizzati per sviluppare dei percorsi diattacco univoci, personalizzati in base alla superficie di attacco diLeroy Merlin
• Hadrian ha collaborato con il team per la sicurezza di Leroy Merlinper analizzare i rischi e definire le priorità in base alle sueesigenze

Risultato

Scoprire gli asset dimenticati

Hadrian ha implementato alcuni strumenti di rilevamento degli asset con un obiettivo benpreciso: identificare gli asset sconosciuti. Nel caso di Leroy Merlin, Hadrian ha utilizzato lasua conoscenza pregressa nell’ambito della sicurezza ecommerce per adottare deglistrumenti in grado di monitorare quelle aree in cui la probabilità di contenere assetdimenticati era maggiore. Ad esempio, accade spesso che gli sviluppatori delle app nelsettore ecommerce lascino inavvertitamente disponibili le pagine amministratore,consentendo così agli aggressori di accedere a funzioni di amministrazione sensibili. Sullabase di queste conoscenze, Hadrian ha implementato un modulo di hacking volto aidentificare le directory/pagine di amministrazione dimenticate.Hadrian è stato in grado di identificare un endpoint vulnerabile con una pagina diamministrazione non monitorata.

{{quote-1}}

Sviluppo di test mirati per identificarepotenziali violazioni di dati

Quando ha identificato un asset dimenticato o non monitorato, Hadrian ha attintoa informazioni open source e alla propria logica per individuare percorsi diattacco pertinenti. I test mirati hanno permesso a Hadrian di convalidare lasicurezza di Leroy Merlin senza sovraccaricare l’infrastruttura informatica. Nel caso della pagina di amministrazione non monitorata, Hadrian è riuscito aindividuare il test più efficace in base al contesto dell’applicazione, nello specificoil suo linguaggio e il suo framework. Hadrian ha eseguito un test che in piùoccasioni aveva già messo in luce dei rischi su altri asset con framework simili. Il test è riuscito a scoprire le credenziali delle password di accesso ai database edi Google Cloud, nonché cookie contenenti informazioni utente sensibili

EventinLa tecnologia basata sugli eventigenera percorsi di attacco complessi

Hadrian è stato creato utilizzando la tecnologia basata sugli eventi. Itest basati su eventi consistono nello sferzare attacchi lunghi ecomplicati che vengono suddivisi in componenti più piccoli epossono essere combinati in varie sequenze per una maggioreflessibilità. Inoltre, si generano nuovi moduli a partire dagli insightsraccolti tramite test precedenti; si tratta pertanto di unametodologia di test estremamente adattabile. I componenti più piccoli consentono ad Hadrian di adattarsi di paripasso con l’emergere di nuovi dati. Ad esempio, quando Hadrian hascoperto i cookie nella pagina di amministrazione, ha attivato unostrumento di hacking. Lo strumento di hacking ha utilizzato i cookieper ottenere l’accesso agli account contenenti le informazionisensibili sull’azienda e sui clienti. Hadrian continuerà a raccogliere dati e a implementare test inrisposta a qualunque cambiamento nella superficie di attacco diLeroy Merlin.