Pentest: diligência prévia em processo de Fusão e Aquisição

Picture of Kaique Bonato

Kaique Bonato

Pentest para fusão e aquisição - Senki

Como já mencionamos em um artigo anterior, o pentest é parte fundamental da diligência prévia realizada em processos de fusão e aquisição. 

Fusão e aquisição (ou merge & acquisitions, em inglês) é um termo usado como referência à compra de uma empresa por outra, com o objetivo de dominar o mercado ou de combinar forças, enquanto a diligência prévia (tradução de due dilligence) representa uma investigação para analisar todos os riscos envolvendo a compra e levantar informações a respeito da empresa que será comprada. 

Já que as áreas de segurança e tecnologia são partes desse processo, o pentest entra como um recurso para analisar a cibersegurança e a existência de possíveis vulnerabilidades. 

Para exemplificar a importância dos testes de intrusão na diligência prévia para a fusão e aquisição, trouxemos um case em que a Vantico trabalhou recentemente. 

Pentest para fusão e aquisição realizado pela Vantico 

Uma multinacional do segmento de logística e transportes estava no processo de aquisição de uma startup do mesmo ramo. Para finalizar a negociação, era necessária a realização da diligência prévia da startup para o levamento dos possíveis riscos envolvendo a compra. Para isso, a empresa procurou a Vantico para a realização do pentest. 

Como foi realizado? 

O teste teve duração de cerca de 2 semanas e foram analisadas todas as aplicações e tecnologias da startup que estavam disponíveis na internet. O time de pentesters o realizou sem qualquer tipo de acesso privilegiado ao sistema (blackbox). 

O planejamento do projeto se deu da seguinte maneira: 

  1. Montar o escopo do projeto  
  2. Mapear a aplicação e levantar dados  
  3. Criar o modelo de ameaças  
  4. Definir e analisar vulnerabilidades  
  5. Explorar as aplicações  
  6. Comprometer o servidor  
  7. Finalizar o teste  
  8. Empresa inicia a remediação e segue com a aquisição 

A partir do segundo passo, entretanto, os relatórios já começam a ser atualizados em tempo real pela equipe dentro da plataforma da Vantico, de forma que a empresa recebia as atualizações do projeto conforme elas iam acontecendo. 

As principais metodologias utilizadas durante a realização foram: 

  • Penetration Testing Execution Standard  
  • OWASP Testing Guide  
  • Open Source Security Testing Methodology Manual 
  • Information Systems Security Assessment Framework  
  • A Web Application Hacker’s Methodology  
  • SANS 25 Security Threats 

O que foi encontrado? 

Ao todo, foram analisados 45 ativos, entre IPs, domínios e subdomínios. Foram encontradas diversas vulnerabilidades críticas, que representavam ameaças seríssimas à integridade da instituição – e, consequentemente, da empresa que iria comprá-la. Algumas das principais vulnerabilidades encontradas foram: 

  1. Banco de dados (firebase) aberto, sem autenticação – Crítica; 
  2. Sistemas legados (desatualizados) – Crítica; 
  3. Serviços expostos em excesso, tais como RDP, SSH, entre outros, abertos para internet – Crítica; 
  4. Aplicações de staging e desenvolvimento abertos – Crítica; 
  5. GitLab SSRF aberto e permitindo que o servidor fizesse requisições – Crítica; 
  6. Acesso default nos sistemas de login – Crítica. 

A vulnerabilidade ligada ao banco de dados aberto, por exemplo, permitia que todas as informações do banco de dados da startup estivessem acessíveis na internet para qualquer pessoa, incluindo informações confidenciais e sobre os clientes! Ou seja, qualquer um poderia ter acesso a esses dados e se aproveitar deles para fins ilícitos, prejudicando a empresa e seus clientes. 

No entanto, através do pentest, foi possível identificar todos esses riscos, repassá-los à equipe que estava realizando a diligência prévia para que pudessem ser reparados, evitando as chances de vazamento de dados, possíveis danos à reputação da marca e perdas financeiras. 

Conclusão 

O trabalho da Vantico e de seus pentesters, portanto, foi essencial para a conclusão do processo de fusão e aquisição, garantindo que a empresa compradora tivesse maiores garantias de sucesso e mais segurança para prosseguir. 

Conheça o trabalho da Vantico e entre em contato conosco para saber como podemos ajudar a sua instituição. 

veja também

Outros conteúdos sobre Segurança Cibernética