Сигурност

Документ за преглед на сигурността на Wink

Последна актуализация: 7 септември 2024 г.

Версия 1.0

Цел и обхват

Като част от нашия постоянен ангажимент към сигурността и защитата на потребителските данни, провеждаме редовни тестове за проникване на нашето уеб приложение. Този документ описва нашите методологии за тестване, предоставя обобщение на констатациите и подчертава нашия подход към непрекъснатото подобряване на сигурността.

Този документ ще бъде актуализиран при изготвяне на нови доклади или при настъпване на значителни промени.

Обхват на домейните:
*.wink.travel
*.trippay.io

Честота и график на тестване

Нашите тестове за проникване се провеждат ежегодно, като допълнителни тестове се планират при необходимост след значителни актуализации на приложението или инфраструктурата. Този редовен график на тестване ни гарантира, че сме една крачка пред развиващите се заплахи и поддържаме сигурна среда.

Методологии за тестване

Нашите тестове за проникване са изчерпателни и обхващат широк спектър от аспекти на сигурността, включително, но не само:

• OWASP Top 10: Нашите тестове са насочени специално към най-критичните рискове за сигурността, като Инжектиране, Счупена автентикация и Междусайтов скриптинг (XSS).
• Black Box и Grey Box тестване: В зависимост от обхвата, нашият екип използва тези методологии, за да симулира както външни, така и вътрешни сценарии на атака.
• Автоматизирано и ръчно тестване: Използваме Burp Suite Pro, водещ набор от инструменти за тестване на сигурността, за провеждане на автоматизирани сканирания и подпомагане на ръчни техники за идентифициране на сложни уязвимости и постигане на най-добро покритие. За по-специфично идентифициране на уязвимости се използват и специализирани инструменти, напр. SQLmap.

Обобщение на констатациите

Следва обобщение на най-новия ни доклад от тестове за проникване:

• Общо идентифицирани уязвимости: 2
• Разпределение по тежест:
  • Критични: 2
• Видове открити уязвимости:
  • Счупен контрол на достъпа
  • Несигурен дизайн

За подробни констатации, моля, вижте пълния доклад.

Оценки на риска и въздействието

Двете открити уязвимости са оценени като критични, тъй като и двете биха могли да имат сериозни финансови последици. Първата позволи на злонамерен автентикиран потребител да поеме контрол над платежен акаунт на друга компания в Trippay. Втората уязвимост позволи на злонамерен потребител да промени сумата на плащането, изисквана за резервация.

Мерки за отстраняване и смекчаване

Взехме следните мерки за справяне с идентифицираните уязвимости:

• Незабавни пачове: Критичните уязвимости бяха отстранени в рамките на 48 часа след откриването им.
• Преглед и затягане на кода: Екипът за разработка е приложил допълнителни контролни мерки за сигурност въз основа на нашите препоръки.

Непрекъснато подобрение

Тестването за проникване е част от нашата по-широка стратегия за непрекъснато подобряване на сигурността. Констатациите от всеки тест насочват нашите политики за сигурност, влияят върху практиките за разработка и стимулират подобрения в архитектурата на сигурността.

Експертиза на екипа

Нашите тестове за проникване се провеждат от вътрешен професионалист с обширен опит в различни проекти и индустрии. Използвайки водещи инструменти и методи, нашият експерт гарантира, че приложението ни е щателно тествано срещу най-новите заплахи за сигурността.

Ангажимент към сигурността

Ние сме посветени на поддържането на сигурна среда за нашите потребители и заинтересовани страни. Нашите постоянни усилия в тестването и подобряването на сигурността демонстрират нашия ангажимент за защита срещу развиващите се заплахи.

Достъп до доклада и актуализации

Този документ ще бъде непрекъснато актуализиран с издаването на нови доклади от тестове за проникване. За достъп до пълния доклад, моля, свържете се с нас на посочения по-долу имейл. Бъдещите актуализации ще включват новооткрити уязвимости, мерки за отстраняване и корекции в нашите методологии за тестване.

За допълнителни въпроси, моля, свържете се на [email protected].