ActiUp và CyStack thành lập liên minh bền vững vì bảo mật người dùng
Thy Dang
Từ ngày 24/05/2023 đến ngày 20/06/2023, CyStack đã thực hiện đánh giá bảo mật cho ứng dụng ActiUp của công ty Techhaus Việt Nam. Mục đích của dự án là xác định các điểm yếu về bảo mật, xác định tác động đối với ActiUp, ghi lại tất cả các phát hiện một cách rõ ràng và có thể lặp lại, đồng thời đưa ra các khuyến nghị khắc phục.
Về ActiUp
Techhaus Việt Nam là công ty công nghệ nổi tiếng tại Đông Nam Á chuyên cung cấp các giải pháp công nghệ về sức khỏe, thể thao và giải trí, giúp người dùng dễ dàng có lối sống lành mạnh và năng động hơn mỗi ngày.
ActiUp là một sản phẩm thuộc hệ thống sinh thái thể thao và sức khoẻ toàn diện của công ty Techhaus Việt Nam, kết nối các nhà tổ chức sự kiện thể thao với người tham gia, tối ưu hóa việc quản lý và đăng ký vé. Tất cả các tiện ích xung quanh đường đua sẽ được gói gọn trong một lần truy cập duy nhất, từ đăng ký vé, mua sắm các sản phẩm thể thao, đăng ký trực tuyến đến tìm kiếm ảnh sau sự kiện.
Nhận thức về bảo mật của ActiUp
Là một start-up trẻ, sau một thời gian triển khai cung cấp dịch vụ, Techhaus Việt Nam đã gặp phải một số vấn đề gây ảnh hưởng tới trải nghiệm người dùng. Nhận thấy tầm quan trọng của việc bảo mật dữ liệu khách hàng, Techhaus Việt Nam đã tìm kiếm và lựa chọn CyStack là đối tác chiến lược an ninh mạng thực hiện đánh giá an ninh toàn diện cơ sở hạ tầng trước các đợt phát hành vé lớn với phương pháp Kiểm thử xâm nhập (Penetration Testing).
Các chuyên gia của CyStack đã phát hiện tổng cộng 6 lỗ hổng bảo mật, trong đó có 1 critical, 2 high và 3 low. Đội ngũ của chúng tôi đã tăng mức độ phức tạp của chuỗi OTP gửi về, đảm bảo rằng chỉ email duy nhất mà người dùng đã đăng ký nhận được OTP; tư vấn thiết kế lại giúp loại bỏ các lỗi luồng mua vé, đảm bảo hoạt động an toàn không còn xảy ra tình trạng gian lận; harden lại các configuration bảo mật hiện tại cho JWT và thêm các cơ chế kiểm soát hiệu lực token chặt chẽ hơn.
Sau quá trình kiểm tra và đánh giá nghiêm ngặt từ đội ngũ chuyên gia CyStack cùng sự tuân thủ hai tiêu chuẩn NIST SP 800-115 và OWASP Testing Guide V4, ActiUp đã nhận được chứng nhận an ninh mạng của CyStack.
NIST SP 800-115 là tài liệu kỹ thuật của Viện Tiêu chuẩn và Kỹ thuật Quốc gia Mỹ (NIST) xây dựng, cung cấp một khung chuẩn toàn diện để đánh giá an toàn thông tin của hệ thống. Nó bao gồm ba giai đoạn chính: lập kế hoạch, tiến hành kiểm thử và báo cáo kết quả.
OWASP Testing Guide V4 là bộ tiêu chuẩn được phát triển bởi OWASP (Open Web Application Security Project) để hướng dẫn và khuyến nghị các phương pháp kiểm thử và bảo mật ứng dụng web. Bộ tiêu chuẩn này cung cấp một danh mục chi tiết các test case và quy trình kiểm thử, giúp xác định và giảm thiểu các lỗ hổng bảo mật phổ biến trong ứng dụng web.
Về CyStack
CyStack là công ty an ninh mạng đổi mới – sáng tạo hàng đầu tại Việt Nam, được biết đến với khả năng nghiên cứu chuyên sâu và xây dựng các giải pháp tiên phong về bảo mật cho doanh nghiệp và cá nhân.
Sản phẩm và dịch vụ của CyStack tập trung vào phát hiện mối đe doạ, quản lý lỗ hổng, bảo mật cộng đồng, và bảo mật dữ liệu, với mục tiêu bảo vệ toàn diện tổ chức trước các mối đe dọa từ không gian số. Các giải pháp này được tin dùng và khuyến nghị bởi nhiều tổ chức, doanh nghiệp ở đa dạng quy mô và lĩnh vực, cũng như đạt giải thưởng từ Bộ Thông tin & Truyền thông và các Hiệp hội chuyên ngành trong nhiều năm liền.
