Como já mencionamos em um artigo anterior, o pentest é parte fundamental da diligência prévia realizada em processos de fusão e aquisição.
Fusão e aquisição (ou merge & acquisitions, em inglês) é um termo usado como referência à compra de uma empresa por outra, com o objetivo de dominar o mercado ou de combinar forças, enquanto a diligência prévia (tradução de due dilligence) representa uma investigação para analisar todos os riscos envolvendo a compra e levantar informações a respeito da empresa que será comprada.
Já que as áreas de segurança e tecnologia são partes desse processo, o pentest entra como um recurso para analisar a cibersegurança e a existência de possíveis vulnerabilidades.
Para exemplificar a importância dos testes de intrusão na diligência prévia para a fusão e aquisição, trouxemos um case em que a Vantico trabalhou recentemente.
Pentest para fusão e aquisição realizado pela Vantico
Uma multinacional do segmento de logística e transportes estava no processo de aquisição de uma startup do mesmo ramo. Para finalizar a negociação, era necessária a realização da diligência prévia da startup para o levamento dos possíveis riscos envolvendo a compra. Para isso, a empresa procurou a Vantico para a realização do pentest.
Como foi realizado?
O teste teve duração de cerca de 2 semanas e foram analisadas todas as aplicações e tecnologias da startup que estavam disponíveis na internet. O time de pentesters o realizou sem qualquer tipo de acesso privilegiado ao sistema (blackbox).
O planejamento do projeto se deu da seguinte maneira:
- Montar o escopo do projeto
- Mapear a aplicação e levantar dados
- Criar o modelo de ameaças
- Definir e analisar vulnerabilidades
- Explorar as aplicações
- Comprometer o servidor
- Finalizar o teste
- Empresa inicia a remediação e segue com a aquisição
A partir do segundo passo, entretanto, os relatórios já começam a ser atualizados em tempo real pela equipe dentro da plataforma da Vantico, de forma que a empresa recebia as atualizações do projeto conforme elas iam acontecendo.
As principais metodologias utilizadas durante a realização foram:
- Penetration Testing Execution Standard
- OWASP Testing Guide
- Open Source Security Testing Methodology Manual
- Information Systems Security Assessment Framework
- A Web Application Hacker’s Methodology
- SANS 25 Security Threats
O que foi encontrado?
Ao todo, foram analisados 45 ativos, entre IPs, domínios e subdomínios. Foram encontradas diversas vulnerabilidades críticas, que representavam ameaças seríssimas à integridade da instituição – e, consequentemente, da empresa que iria comprá-la. Algumas das principais vulnerabilidades encontradas foram:
- Banco de dados (firebase) aberto, sem autenticação – Crítica;
- Sistemas legados (desatualizados) – Crítica;
- Serviços expostos em excesso, tais como RDP, SSH, entre outros, abertos para internet – Crítica;
- Aplicações de staging e desenvolvimento abertos – Crítica;
- GitLab SSRF aberto e permitindo que o servidor fizesse requisições – Crítica;
- Acesso default nos sistemas de login – Crítica.
A vulnerabilidade ligada ao banco de dados aberto, por exemplo, permitia que todas as informações do banco de dados da startup estivessem acessíveis na internet para qualquer pessoa, incluindo informações confidenciais e sobre os clientes! Ou seja, qualquer um poderia ter acesso a esses dados e se aproveitar deles para fins ilícitos, prejudicando a empresa e seus clientes.
No entanto, através do pentest, foi possível identificar todos esses riscos, repassá-los à equipe que estava realizando a diligência prévia para que pudessem ser reparados, evitando as chances de vazamento de dados, possíveis danos à reputação da marca e perdas financeiras.
Conclusão
O trabalho da Vantico e de seus pentesters, portanto, foi essencial para a conclusão do processo de fusão e aquisição, garantindo que a empresa compradora tivesse maiores garantias de sucesso e mais segurança para prosseguir.
Conheça o trabalho da Vantico e entre em contato conosco para saber como podemos ajudar a sua instituição.