Как пентест помог производителю косметики предотвратить потери до $20 000 в месяц

Международный производитель косметики с развитой цифровой экосистемой: веб-приложение, мобильное приложение, онлайн-заказы, программа лояльности. Бизнес активно масштабировал цифровые сервисы, чтобы ускорить продажи и улучшить клиентский опыт.

Компания регулярно внедряла новые функции — включая SMS-уведомления и механики подтверждения действий пользователей.

Но при этом никто не проверял, как эти изменения влияют на безопасность, и могут ли они быть использованы злоумышленниками.

Риски были двойными:

• финансовые — возможность прямых затрат из-за злоупотребления SMS-трафиком;
• репутационные — сбой в работе сервисов затрагивал бы клиентов по всему миру.

Мы провели тестирование на проникновение внешнего периметра - пентест и сфокусировались на веб-приложении.

Работали методом Grey Box, имитируя действия злоумышленника с реальным знанием части системы.

В результате нашли критическую уязвимость в механизме SMS-верификации, которая:

• позволяла инициировать неограниченную отправку SMS на платные номера;
• давала возможность злоумышленнику списывать средства за счет компании;
• не требовала глубоких знаний или сложных обходов защиты.

Мы подготовили для клиента:

• подробный отчёт о механизме атаки;
• расчёт фактических и потенциальных ежемесячных потерь — до $20 000;
• пошаговый план исправления уязвимости и предотвращения подобных сценариев в будущем.

Команда инженеров оперативно внедрила рекомендации — изменения были внесены в течение 5 рабочих дней.

Финансовая защита.

Компания предотвратила прямые потери, которые могли составить сотни тысяч долларов в год.

Снижение операционных рисков.

Сервис стал устойчив к злоупотреблениям, способным вызвать сбои в работе и негативно сказаться на клиентском опыте.

Рост зрелости безопасности.

Компания получила понимание слабых мест в цифровых процессах и внедрила дополнительный контроль на этапе разработки новых функций.