Предотвращение раскрытия клиентских данных в e-commerce проекте

Задача

Провести тестирование на проникновение web-приложения и Telegram-бота методом серого ящика для выявления уязвимостей, способных привести к утечке персональных данных клиентов.

Срок

40 рабочих дней

Сфера заказчика

Ритейл

Что сделали

• Эксперты компании выполнили комплексное тестирование безопасности web-приложения и Telegram-бота, моделируя действия злоумышленника с частичным знанием внутренней структуры системы;
• Особое внимание уделялось анализу механизмов пост-оплаты и взаимодействию с API;
• В ходе работ были выявлены критические уязвимости типа IDOR (Insecure Direct Object Reference) в функционале пост-оплаты как в web-версии, так и в Telegram-боте;
• Эксплуатация этих уязвимостей позволяла получить доступ к конфиденциальной информации: ФИО, номер телефона, адрес доставки, трек-код, а также сведения о банке, через который была проведена оплата.

Результат работы

Благодаря внедрению наших рекомендаций клиент:

• Защитил клиентскую базу и персональные данные от массовой утечки через API, что особенно критично для e-commerce-проектов с большим количеством пользователей;
• Исключил риск несанкционированного доступа к деталям заказов, платежной информации и контактным данным клиентов — теперь перебор идентификаторов невозможен, а контроль доступа реализован на каждом уровне;
• Снизил вероятность репутационных и финансовых потерь, связанных с возможными инцидентами раскрытия персональных данных.