Company

ActiUp và CyStack thành lập liên minh bền vững vì bảo mật người dùng

CyStack Avatar

Thy Dang

Content Executive @ Marketing Team|December 19, 2023

Từ ngày 24/05/2023 đến ngày 20/06/2023, CyStack đã thực hiện đánh giá bảo mật cho ứng dụng ActiUp của công ty Techhaus Việt Nam. Mục đích của dự án là xác định các điểm yếu về bảo mật, xác định tác động đối với ActiUp, ghi lại tất cả các phát hiện một cách rõ ràng và có thể lặp lại, đồng thời đưa ra các khuyến nghị khắc phục.

actiup

Về ActiUp

Techhaus Việt Nam là công ty công nghệ nổi tiếng tại Đông Nam Á chuyên cung cấp các giải pháp công nghệ về sức khỏe, thể thao và giải trí, giúp người dùng dễ dàng có lối sống lành mạnh và năng động hơn mỗi ngày.

ActiUp là một sản phẩm thuộc hệ thống sinh thái thể thao và sức khoẻ toàn diện của công ty Techhaus Việt Nam, kết nối các nhà tổ chức sự kiện thể thao với người tham gia, tối ưu hóa việc quản lý và đăng ký vé. Tất cả các tiện ích xung quanh đường đua sẽ được gói gọn trong một lần truy cập duy nhất, từ đăng ký vé, mua sắm các sản phẩm thể thao, đăng ký trực tuyến đến tìm kiếm ảnh sau sự kiện.

Nhận thức về bảo mật của ActiUp

Là một start-up trẻ, sau một thời gian triển khai cung cấp dịch vụ, Techhaus Việt Nam đã gặp phải một số vấn đề gây ảnh hưởng tới trải nghiệm người dùng. Nhận thấy tầm quan trọng của việc bảo mật dữ liệu khách hàng, Techhaus Việt Nam đã tìm kiếm và lựa chọn CyStack là đối tác chiến lược an ninh mạng thực hiện đánh giá an ninh toàn diện cơ sở hạ tầng trước các đợt phát hành vé lớn với phương pháp Kiểm thử xâm nhập (Penetration Testing).

Các chuyên gia của CyStack đã phát hiện tổng cộng 6 lỗ hổng bảo mật, trong đó có 1 critical, 2 high và 3 low. Đội ngũ của chúng tôi đã tăng mức độ phức tạp của chuỗi OTP gửi về, đảm bảo rằng chỉ email duy nhất mà người dùng đã đăng ký nhận được OTP; tư vấn thiết kế lại giúp loại bỏ các lỗi luồng mua vé, đảm bảo hoạt động an toàn không còn xảy ra tình trạng gian lận; harden lại các configuration bảo mật hiện tại cho JWT và thêm các cơ chế kiểm soát hiệu lực token chặt chẽ hơn.

Sau quá trình kiểm tra và đánh giá nghiêm ngặt từ đội ngũ chuyên gia CyStack cùng sự tuân thủ hai tiêu chuẩn NIST SP 800-115 và OWASP Testing Guide V4, ActiUp đã nhận được chứng nhận an ninh mạng của CyStack.

NIST SP 800-115 là tài liệu kỹ thuật của Viện Tiêu chuẩn và Kỹ thuật Quốc gia Mỹ (NIST) xây dựng, cung cấp một khung chuẩn toàn diện để đánh giá an toàn thông tin của hệ thống. Nó bao gồm ba giai đoạn chính: lập kế hoạch, tiến hành kiểm thử và báo cáo kết quả.

OWASP Testing Guide V4 là bộ tiêu chuẩn được phát triển bởi OWASP (Open Web Application Security Project) để hướng dẫn và khuyến nghị các phương pháp kiểm thử và bảo mật ứng dụng web. Bộ tiêu chuẩn này cung cấp một danh mục chi tiết các test case và quy trình kiểm thử, giúp xác định và giảm thiểu các lỗ hổng bảo mật phổ biến trong ứng dụng web.

Về CyStack

CyStack là công ty an ninh mạng đổi mới – sáng tạo hàng đầu tại Việt Nam, được biết đến với khả năng nghiên cứu chuyên sâu và xây dựng các giải pháp tiên phong về bảo mật cho doanh nghiệp và cá nhân.

Sản phẩm và dịch vụ của CyStack tập trung vào phát hiện mối đe doạ, quản lý lỗ hổng, bảo mật cộng đồng, và bảo mật dữ liệu, với mục tiêu bảo vệ toàn diện tổ chức trước các mối đe dọa từ không gian số. Các giải pháp này được tin dùng và khuyến nghị bởi nhiều tổ chức, doanh nghiệp ở đa dạng quy mô và lĩnh vực, cũng như đạt giải thưởng từ Bộ Thông tin & Truyền thông và các Hiệp hội chuyên ngành trong nhiều năm liền.

 

Related posts

Legback teams up with CyStack for cutting-edge security in the legal landscape
Legback teams up with CyStack for cutting-edge security in the legal landscape
January 22 2024|Company

Demonstrating proactive security leadership in legaltech, Legback recently collaborated with CyStack to perform comprehensive penetration testing on client applications, allowing the company to identify and remediate vulnerabilities before threats arise. The successful 20-day project involved five skilled testers thoroughly detecting gaps, assessing risks, and providing clear fixing advice to bolster defenses across Legback’s systems. About …

Stringee takes proactive step to bolster system security by partnering with CyStack
Stringee takes proactive step to bolster system security by partnering with CyStack
December 27 2023|Company

From 23/08/2023 to 14/09/2023, Stringee engaged CyStack to perform Penetration Testing on their two applications: Stringee APIs and StringeeX. The main goal of this initiative was to identify security vulnerabilities, evaluate their impact on the web app, comprehensively document all findings in a clear and reproducible manner, and provide recommendations for remediation. The project involved …

Vayana collaborates with CyStack to assess the security of Vayana Debt Platform (VDP)
Vayana collaborates with CyStack to assess the security of Vayana Debt Platform (VDP)
December 21 2023|Company

Vayana commissioned CyStack to perform an audit on their smart contract from November 2nd to November 10th, 2023. A team of four engineers scrutinized the code to evaluate adherence to provided specifications, identify language-specific vulnerabilities, and manually inspect functionality. The audit aimed principally to determine the security, robustness, and proper operation of the smart contract …