O desafio
A instituição preparava o lançamento de uma nova aplicação de homebanking, o canal digital que passaria a concentrar a maioria das operações dos seus clientes. Antes do go-live, a administração e a equipa de risco precisavam de garantias independentes de que a plataforma resistia a ataques reais e de que cumpria as exigências do regulador em matéria de segurança da informação e de autenticação forte de cliente (SCA).
Num canal desta dimensão, uma única falha explorável tem impacto direto na confiança dos clientes, na reputação da marca e na conformidade. O objetivo era claro: encontrar e corrigir os problemas antes dos atacantes, e não depois.
Âmbito
O teste cobriu toda a superfície do novo canal, e não apenas o que estava documentado:
- Aplicação web de homebanking, área autenticada e fluxos públicos
- API REST que suporta a aplicação web e a app móvel
- Fluxos de autenticação, autenticação multifator e gestão de sessão
- Lógica de negócio das operações sensíveis: transferências, gestão de beneficiários e alteração de dados
- Configuração da infraestrutura exposta e cabeçalhos de segurança
A nossa abordagem
Conduzimos um teste de intrusão em modelo gray-box, com credenciais de diferentes perfis de utilizador, para simular dois cenários realistas em simultâneo: o atacante externo sem qualquer acesso e o cliente malicioso já autenticado que tenta chegar a dados ou operações de terceiros.
A metodologia seguiu o OWASP Web Security Testing Guide (WSTG) e o PTES, tendo o OWASP ASVS como referência de requisitos e uma modelação de ameaças específica para banca digital. O trabalho decorreu em três frentes:
- Reconhecimento e mapeamento de toda a superfície de ataque, incluindo endpoints da API não expostos na interface.
- Exploração manual, apoiada por ferramentas, das áreas de maior risco: controlo de acessos, lógica de negócio, integridade das transações e abuso de funcionalidades legítimas.
- Validação de impacto real, encadeando falhas para demonstrar cenários concretos de fraude, sempre sem afetar dados de produção.
Principais áreas testadas
- Controlo de acessos e referências diretas a objetos (IDOR)
- Autenticação, robustez do MFA e gestão de sessão
- Lógica de negócio das transferências e limites operacionais
- Validação de entrada, injeção e tratamento de erros
- Segurança da API: autorização por endpoint, rate limiting e exposição de dados
- Configuração, cabeçalhos de segurança e proteção contra automação
Resultados
Foram identificadas vulnerabilidades em várias categorias. Entre elas, falhas de controlo de acessos que permitiriam a um cliente autenticado consultar informação de outros titulares, e uma falha de lógica de negócio que, encadeada com outras, abria caminho à manipulação de operações. As duas mais graves foram classificadas como críticas.
Para cada vulnerabilidade entregámos:
- Passos de reprodução detalhados e prova de conceito
- Classificação de risco (CVSS) e tradução do impacto para o negócio
- Recomendações de correção priorizadas e acionáveis, e não apenas a listagem do problema
Correção e reteste
Acompanhámos a equipa de desenvolvimento durante a remediação, esclarecendo dúvidas e validando as abordagens de correção. Concluídas as correções, realizámos um reteste que confirmou a resolução da totalidade das falhas reportadas, sem introduzir regressões.
Impacto
O canal entrou em produção dentro do prazo, com as vulnerabilidades críticas eliminadas antes de qualquer exposição pública. A instituição passou a dispor de evidência independente do nível de segurança da plataforma, útil para a administração, para a auditoria interna e para a demonstração de conformidade junto do regulador. Mais do que um relatório, ficou com um canal digital mais seguro e uma equipa mais bem preparada para o manter assim.
Serviços neste projeto:
Tem um desafio semelhante?
Entre em contacto e a nossa equipa responde em menos de 24 horas.