Post #1619

🏆Наши чемпионы из Отдела анализа защищенности стали ПЯТИкратными победителями кибербитвы Standoff и сохранили свой кубок чемпионов. Парни выступали в составе команды Codeby Pentest. Это одна из сильнейших red team в СНГ. ❌ Коллеги «ломали» банковский сектор, состоящий из трех банков: —‎ Commercial Bank of the Standoff, у банка множество отделений, клиенты — юридические лица (ЮЛ); —‎ First Partner Bank позволяет оплачивать покупки с помощью QR-кодов, клиенты — малый бизнес; — Global Digital Bank полностью автоматизирован и имеет всего один филиал, его приложения работают в «облаке». Взаиморасчеты между этими банками осуществляет Central Bank of the Standoff. 😈 В первый же день парни полностью скомпрометировали «облачный» банк GDB, реализовав максимальный риск на полную компрометацию k8s, и начислили себе денежные средства (ДС) для реализации рисков в других банках. После чего взломали базу данных АБС и через терминал кассира-операциониста вывели ДС из GDB и ДБО для ЮЛ. Также, команда Codeby Pentest нашла уязвимости в логике работы мобильного приложения → ошибку в логике оплаты товаров по QR-кодам. Это позволило оплатить товар в магазине за счет украденных средств. Много рисков нашли и в инфраструктуре. Был запущен вирус шифровальщик на сервере с sharepoint, украдены документы, содержащие финансовую тайну, с ПК фин.директора, а также похищены ПДн клиентов 😱 🔴Напряжённая кибербитва шла четыре дня. Пять наших сотрудников реализовали 12 рисков из 24 и принесли команде ~80 000 очков. Это помогло почти вдвое оторваться от команды, занявшей второе место 🎉