CyberS3c, Cybersecurity Artisans
Banca

Pentest a aplicação de homebanking

Instituição financeira portuguesa

Teste de intrusão à aplicação web e API de homebanking, com identificação e correção de vulnerabilidades críticas antes do lançamento público.

O desafio

A instituição preparava o lançamento de uma nova aplicação de homebanking, o canal digital que passaria a concentrar a maioria das operações dos seus clientes. Antes do go-live, a administração e a equipa de risco precisavam de garantias independentes de que a plataforma resistia a ataques reais e de que cumpria as exigências do regulador em matéria de segurança da informação e de autenticação forte de cliente (SCA).

Num canal desta dimensão, uma única falha explorável tem impacto direto na confiança dos clientes, na reputação da marca e na conformidade. O objetivo era claro: encontrar e corrigir os problemas antes dos atacantes, e não depois.

2
vulnerabilidades críticas identificadas
100%
corrigidas e validadas no reteste
Gray-box
OWASP WSTG + PTES + ASVS

Âmbito

O teste cobriu toda a superfície do novo canal, e não apenas o que estava documentado:

  • Aplicação web de homebanking, área autenticada e fluxos públicos
  • API REST que suporta a aplicação web e a app móvel
  • Fluxos de autenticação, autenticação multifator e gestão de sessão
  • Lógica de negócio das operações sensíveis: transferências, gestão de beneficiários e alteração de dados
  • Configuração da infraestrutura exposta e cabeçalhos de segurança

A nossa abordagem

Conduzimos um teste de intrusão em modelo gray-box, com credenciais de diferentes perfis de utilizador, para simular dois cenários realistas em simultâneo: o atacante externo sem qualquer acesso e o cliente malicioso já autenticado que tenta chegar a dados ou operações de terceiros.

A metodologia seguiu o OWASP Web Security Testing Guide (WSTG) e o PTES, tendo o OWASP ASVS como referência de requisitos e uma modelação de ameaças específica para banca digital. O trabalho decorreu em três frentes:

  1. Reconhecimento e mapeamento de toda a superfície de ataque, incluindo endpoints da API não expostos na interface.
  2. Exploração manual, apoiada por ferramentas, das áreas de maior risco: controlo de acessos, lógica de negócio, integridade das transações e abuso de funcionalidades legítimas.
  3. Validação de impacto real, encadeando falhas para demonstrar cenários concretos de fraude, sempre sem afetar dados de produção.

Principais áreas testadas

  • Controlo de acessos e referências diretas a objetos (IDOR)
  • Autenticação, robustez do MFA e gestão de sessão
  • Lógica de negócio das transferências e limites operacionais
  • Validação de entrada, injeção e tratamento de erros
  • Segurança da API: autorização por endpoint, rate limiting e exposição de dados
  • Configuração, cabeçalhos de segurança e proteção contra automação

Resultados

Foram identificadas vulnerabilidades em várias categorias. Entre elas, falhas de controlo de acessos que permitiriam a um cliente autenticado consultar informação de outros titulares, e uma falha de lógica de negócio que, encadeada com outras, abria caminho à manipulação de operações. As duas mais graves foram classificadas como críticas.

Para cada vulnerabilidade entregámos:

  • Passos de reprodução detalhados e prova de conceito
  • Classificação de risco (CVSS) e tradução do impacto para o negócio
  • Recomendações de correção priorizadas e acionáveis, e não apenas a listagem do problema

Correção e reteste

Acompanhámos a equipa de desenvolvimento durante a remediação, esclarecendo dúvidas e validando as abordagens de correção. Concluídas as correções, realizámos um reteste que confirmou a resolução da totalidade das falhas reportadas, sem introduzir regressões.

100% das falhas reportadas corrigidas e validadas no reteste

Impacto

O canal entrou em produção dentro do prazo, com as vulnerabilidades críticas eliminadas antes de qualquer exposição pública. A instituição passou a dispor de evidência independente do nível de segurança da plataforma, útil para a administração, para a auditoria interna e para a demonstração de conformidade junto do regulador. Mais do que um relatório, ficou com um canal digital mais seguro e uma equipa mais bem preparada para o manter assim.

Serviços neste projeto:

Tem um desafio semelhante?

Entre em contacto e a nossa equipa responde em menos de 24 horas.