Säkerhet

Wink Säkerhetsöversiktsdokument

Senast uppdaterad: 7 september 2024

Version 1.0

Syfte och Omfattning

Som en del av vårt pågående engagemang för säkerhet och skydd av användardata genomför vi regelbundna penetrationstester på vår webbapplikation. Detta dokument beskriver våra testmetoder, ger en sammanfattning av resultaten och belyser vårt tillvägagångssätt för kontinuerlig säkerhetsförbättring.

Detta dokument kommer att uppdateras när nya rapporter tas fram eller när betydande förändringar sker.

Domäner inom omfattningen:
*.wink.travel
*.trippay.io

Testfrekvens och Schema

Våra penetrationstester genomförs årligen, med ytterligare tester planerade vid behov efter större uppdateringar av applikationen eller infrastrukturen. Denna regelbundna testcykel säkerställer att vi ligger steget före utvecklande hot och upprätthåller en säker miljö.

Testmetoder

Våra penetrationstester är omfattande och täcker ett brett spektrum av säkerhetsaspekter, inklusive men inte begränsat till:

• OWASP Top 10: Våra tester riktar sig särskilt mot de mest kritiska säkerhetsriskerna, såsom Injection, Bruten autentisering och Cross-Site Scripting (XSS).
• Black Box och Grey Box Testing: Beroende på omfattning använder vårt team dessa metoder för att simulera både externa och interna angreppsscenarier.
• Automatiserade och manuella tester: Vi använder Burp Suite Pro, en ledande säkerhetstestningssvit, för att genomföra automatiska säkerhetsskanningar och stödja manuella testtekniker för att identifiera komplexa sårbarheter och få bästa möjliga täckning. För mer specifik sårbarhetsidentifiering används även specialiserade verktyg, t.ex. SQLmap.

Sammanfattning av Resultat

Följande är en övergripande sammanfattning av vår senaste penetrationstestningsrapport:

• Totalt antal identifierade sårbarheter: 2
• Allvarlighetsfördelning:
  • Kritisk: 2
• Typer av upptäckta sårbarheter:
  • Bruten åtkomstkontroll
  • Osäker design

För detaljerade resultat, vänligen se fullständig rapport.

Riskbedömningar och Påverkan

Båda de funna sårbarheterna bedöms som kritiska eftersom båda kunde ha haft allvarliga ekonomiska konsekvenser. Den första tillät en illvillig autentiserad användare att ta kontroll över ett annat företags Trippay-betalningskonto. Den andra sårbarheten gjorde det möjligt för en illvillig användare att ändra det betalningsbelopp som krävdes för en bokning.

Åtgärder och Mitigering

Vi har vidtagit följande steg för att åtgärda de identifierade sårbarheterna:

• Omedelbara patchar: De kritiska sårbarheterna har åtgärdats inom 48 timmar efter upptäckt.
• Kodgranskning och förstärkning: Utvecklingsteamet har implementerat ytterligare säkerhetskontroller baserat på våra rekommendationer.

Kontinuerlig Förbättring

Penetrationstestning är en del av vår bredare strategi för kontinuerlig säkerhetsförbättring. Resultaten från varje test styr våra säkerhetspolicys, påverkar utvecklingspraxis och driver förbättringar i vår säkerhetsarkitektur.

Teamets Expertis

Våra penetrationstester utförs av en intern expert med omfattande erfarenhet från olika projekt och branscher. Med hjälp av ledande verktyg och metoder säkerställer vår expert att vår applikation testas noggrant mot de senaste säkerhetshoten.

Engagemang för Säkerhet

Vi är dedikerade till att upprätthålla en säker applikationsmiljö för våra användare och intressenter. Våra pågående insatser inom säkerhetstestning och förbättring visar vårt engagemang för att skydda mot utvecklande hot.

Rapportåtkomst och Uppdateringar

Detta dokument kommer att uppdateras kontinuerligt när nya penetrationstestningsrapporter publiceras. För att få tillgång till fullständig rapport, vänligen kontakta oss via e-post nedan. Framtida uppdateringar kommer att inkludera nyupptäckta sårbarheter, åtgärder och justeringar av våra testmetoder.

För ytterligare frågor, vänligen kontakta [email protected].