Decathlon are site-ul său de comerț electronic piratat de hackeri etici și descoperă 27 de vulnerabilități



Decathlon face o treaptă superioară când vine vorba de vânătoarea vulnerabilităților de securitate din sistemele sale de informații și site-urile de comerț electronic. Cu ocazia expoziției de securitate cibernetică FIC 2022 desfășurată la Lille, Decathlon a organizat o sesiune de vânătoare live pentru deficiențele platformei sale de comerț electronic, așa-numita „Live Bug Bounty”, deschisă hackerilor etici ai platformei YesWeHack. Operațiunea a descoperit 27 de vulnerabilități, dintre care 3 sunt critice.

Un eveniment organizat de echipele de comunicare Decathlon

Evenimentul a fost organizat în perioada 7-8 iunie de echipele de comunicare ale Decathlon în parteneriat cu YesWeHack. Decathlon folosește un program privat Bug Bounty pe platformă de un an YesWeHack iar specialistul în sport a acceptat așadar să se prezinte în plină lumină timp de două zile asupra defectelor pe care le-ar putea avea. O descriere detaliată și fotografii ale acestui Live Bug Bounty și viziunea managerilor tehnici ai Decathlon sunt publicate pe blogul YesWeHack.

Hackerii au dezvăluit mai multe vulnerabilități în site-ul de comerț electronic construit pe PrestaShop

După 30 de ore de căutare a defecte, chiar peste noapte, hackerii au dezvăluit mai multe vulnerabilități în site-ul de comerț electronic construit pe PrestaShop, inclusiv un RCE (Execuție de cod de la distanță) și o injecție SQL. Echipele Decathlon prezente la fața locului au calificat cele 64 de sesizări depuse de hackeri în timpul evenimentului cu un timp mediu de răspuns de 1 oră și 6 minute.

Echipele Decathlon au acceptat 27 de rapoarte, dintre care 3 critice, iar primele patch-uri au fost în construcție înainte de finalul evenimentului și sunt în curs de desfășurare în zona afectată. Nu a existat nicio întrerupere a producției, deoarece hackerii respectaseră regulile programului care interziceau efectuarea de teste care puteau duce la posibile întreruperi ale serviciului.

Mergeți mai departe în căutarea vulnerabilităților computerului

Este prima dată când ne lansăm într-o recompensă pentru bug-uri. Acest lucru ne permite să întâlnim hackerii, să discutăm cu ei, apoi să mergem mai departe în căutarea vulnerabilităților spune Farid Illikoud, CISO Grupul Decathlon. Pe parcursul celor două zile de depistare live a defecțiunilor, echipele Decathlon au testat robustețea soluției lor de comerț electronic OneShop, bazată pe platforma PrestaShop, utilizată de aproximativ treizeci de țări din întreaga lume. Pentru a testa platforma de comerț electronic de la capăt la capăt, Decathlon Technology a inclus soluția sa de autentificare „Login” și soluția de fidelizare „Cont” în sfera testului.

Echipele Decathlon au calificat defectele cu un timp mediu de răspuns de 1 oră și 6 minute

Echipele tehnice ale Decathlon Technology au fost prezente pentru a asigura evaluarea și remedierea rapidă – faza de corectare a neajunsurilor descoperite – a rapoartelor transmise de hackeri. Echipa a avut un timp mediu de răspuns de 1 oră și 6 minute în timpul evenimentului. Câteva zeci de hackeri au participat la căutarea live a defectelor. Acest Live Bug Bounty a fost deschis și participanților la European Cyber ​​​​Cup, o competiție de hacking etic care utilizează coduri eSports dedicate studenților.

După puțin peste un an în programul privat Bug Bounty, am vrut să atingem un nou nivel găzduind un Live Bug Bounty explică Ismaïl Bouafoud, Manager de Proiect Sistem Informațional la Decathlon. Robustețea platformei de comerț electronic a fost testată în condiții reale pe mediul de producție. “ Am avut unele temeri, dar evenimentul a fost o experiență grozavă și un real succes pe toate fronturile. el a spus.

Proximitatea apreciată cu hackeri

Apropierea echipelor Decathlon de comunitatea vânătorilor de vulnerabilități a fost foarte apreciată. A permis interacțiuni mai fluide și oportunitatea de a fi confruntat cu noi abordări ale securității. Competiția a fost câștigată de Zax, urmat de Hisxo și CarlJohnson. Prima transmitere a unei breșe de securitate a fost făcută la numai 1 oră după începerea evenimentului. Mai multe, IDOR (Insecure Direct Object Reference) au fost descoperite în perimetrul definit.

Bug Bounty este provocatoare și captivantă pentru noi a comentat Matthieu Vanoost, Manager Securitate Informațională la Decathlon. ” Când cercetătorii găsesc o vulnerabilitate, trimit un raport. Dacă această vulnerabilitate este critică, stabilim un termen limită pentru a o remedia el continuă. Capacitatea de reacție îi menține pe vânătorii de vulnerabilități și echipele Decathlon motivați.



Add Comment