Zdravotnická SaaS firma připravující se na certifikaci ISO 27001 potřebovala důkladný bezpečnostní audit platformy, která zpracovává citlivá pacientská data pro více než 200 klinik. Bitvea provedla white-box penetrační testování s plným přístupem ke zdrojovému kódu a odhalila 23 zranitelností: 3 kritické, 7 s vysokou závažností a 13 středních. Jedním z kritických nálezů bylo obejití autentizace, které mohlo zpřístupnit záznamy pacientů. Všechny problémy byly opraveny před certifikačním auditem a firma prošla na první pokus. Celá zakázka od počátečního scopingu po závěrečnou zprávu o nápravě trvala 3 týdny.
Zdravotnický SaaSKlient vyvíjí a provozuje cloudovou platformu, kterou využívá přes 200 klinik ve střední Evropě pro plánování návštěv, správu zdravotní dokumentace a fakturaci. Platforma zpracovává osobní údaje (PII) a chráněné zdravotní informace (PHI) stovek tisíc pacientů. Firma rychle rostla tři roky a prioritou byl vývoj funkcionalit a expanze na trhu. Bezpečnostní kontroly se omezovaly na automatizované skenovací nástroje a příležitostné ruční revize kódu vývojovým týmem. Certifikace ISO 27001 se stala podmínkou od několika velkých klientů a audit byl naplánován za šest týdnů. Firma potřebovala nezávislé a komplexní bezpečnostní posouzení. Interní tým neměl dedikované bezpečnostní inženýry a požadavkem bylo testování na úrovni zdrojového kódu, ne pouze externí skeny.
Firma se tři roky spoléhala na automatizované skenery zranitelností a základní bezpečnostní hlavičky. Tyto nástroje zachytily povrchové problémy, ale unikly jim hlubší chyby v aplikační logice. Vývojový tým implementoval autentizaci a autorizaci napříč platformou, ale kvůli rychlému tempu vydávání nových verzí byly bezpečnostní revize nekonzistentní. Některé API endpointy byly přidány bez řádné kontroly přístupových práv. Správa sessions se vyvíjela přes několik iterací bez jednotného přístupu, což zanechalo hraniční případy, kdy bylo možné tokeny zneužít nebo nebyly správně vymezeny hranice sessions. Firma tušila, že mezery existují, ale neměla odbornost k jejich systematickému odhalení. S pacientskými daty v sázce a blížícím se certifikačním auditem si nemohla dovolit hádat.
Bitvea provedla white-box penetrační test s plným přístupem ke zdrojovému kódu, konfiguraci infrastruktury a deployment pipeline. Testování pokrylo webovou aplikaci, REST API, autentizační a autorizační toky, správu sessions, ukládání dat a integrace s třetími stranami. Kombinovali jsme automatizované nástroje s ruční analýzou autentizační logiky, vzorců řízení přístupu a datových toků mezi službami. Každý nález byl zdokumentovaný s hodnocením závažnosti, proof of concept, dotčenými komponentami a konkrétním návodem na opravu. Během fáze náprav Bitvea spolupracovala s vývojovým týmem na ověření každé opravy.
Plný přístup ke kódové bázi umožnil trasovat datové toky od uživatelského vstupu po databázové dotazy a odhalit zranitelnosti, které by externí skenování nikdy nezachytilo. Analýza pokryla autentizační logiku, autorizační kontroly na každém API endpointu, vzorce validace vstupů a kryptografické implementace. Přístup na úrovni zdrojového kódu výrazně zkrátil dobu testování oproti black-box přístupu.
Bitvea otestovala každý autentizační tok: přihlášení, reset hesla, vytvoření session, obnovení tokenu a práci na více zařízeních. Kritickým nálezem bylo obejití autentizace v procesu resetu hesla, které umožňovalo útočníkovi získat přístup k libovolnému účtu manipulací tokenu. Tím mohly být zpřístupněny záznamy pacientů napříč všemi 200+ klinikami využívajícími platformu.
Každý REST API endpoint byl otestovaný na správné vynucování autorizace. Bitvea odhalila sedm endpointů, kde přihlášený uživatel jedné kliniky mohl přistupovat k datům jiné kliniky úpravou identifikátorů zdrojů v požadavku. Tyto chyby v řízení přístupu byly klasifikovány jako vysoce závažné a vyžadovaly okamžitou nápravu před certifikačním auditem.
Ke každé zranitelnosti Bitvea dodala detailní popis s přesným umístěním v kódu, funkčním proof of concept a postupem nápravy krok za krokem. Po aplikování oprav vývojovým týmem Bitvea znovu otestovala každý nález a potvrdila jeho řádné odstranění. Závěrečná zpráva posloužila jako zdokumentovaný důkaz pro auditora ISO 27001.
Zakázka začala dvoudenním scopingovým setkáním, během kterého Bitvea zrevidovala architekturu aplikace, identifikovala vysoce rizikové oblasti a s klientem dohodla hranice testování. Aktivní testování probíhalo osm pracovních dnů, rozdělených mezi automatizované skenování, ruční analýzu zdrojového kódu a praktickou exploitaci nalezených zranitelností. Šestý den Bitvea dodala předběžnou zprávu o nálezech, aby vývojový tým mohl okamžitě začít opravovat kritické problémy. Zbývající dny testování pokryly méně prioritní oblasti a hraniční případy. Po dokončení náprav vývojovým týmem strávila Bitvea tři dny ověřováním každého nálezu a vypracovala závěrečnou zprávu s ověřeným stavem opravy každé zranitelnosti. Zpráva byla formátována tak, aby splňovala požadavky na důkazní materiál ISO 27001, a byla předložena přímo auditorovi.
Časový plán: 3 týdny od scopingu po závěrečnou zprávu
White-box testování s přístupem ke zdrojovému kódu odhalilo zranitelnosti, které tři roky automatizovaného skenování zcela přehlédly. Obejití autentizace, nejkritičtější nález, bylo pro externí skenery neviditelné, protože vyžadovalo pochopení interní logiky zpracování tokenů.
Sedm chyb v řízení přístupu u API endpointů bylo zaneseno během releasů, které přidávaly novou funkcionalitu bez aktualizace autorizačních kontrol. Zavedení bezpečnostní revize u každého pull requestu by tyto problémy zachytilo průběžně.
Dodání předběžné zprávy šestý den dalo vývojovému týmu náskok v opravách kritických chyb. V době dokončení plné zprávy byly tři kritické zranitelnosti už vyřešené, což ušetřilo celý týden v celkovém harmonogramu.
Zpráva z penetračního testu formátovaná přímo pro požadavky na důkazy ISO 27001 zjednodušila certifikační audit. Auditor uvedl důkladnost bezpečnostního testování jako faktor úspěšného složení na první pokus.
“Věděli jsme, že máme bezpečnostní mezery, ale neuvědomovali jsme si, jak závažné některé jsou. Obejití autentizace bylo varováním. Bitvea ho našla třetí den, přesně vysvětlila, jak funguje, a pomohla nám ho opravit ještě tentýž týden. Závěrečná zpráva byla natolik detailní, že ji náš ISO auditor přijal bez dalších otázek. Penetrační test s Bitvea teď provádíme každých šest měsíců jako součást našeho bezpečnostního standardu.”
Odhalte zranitelnosti dříve než útočníci.
Zjistěte více