Trusting Social bảo vệ toàn vẹn hệ thống thẻ thanh toán EVO

Trusting Social đặt niềm tin vào đội ngũ chuyên gia CyStack bảo vệ sự an toàn và tin cậy của hệ thống thẻ thanh toán EVO với phương pháp Kiểm thử xâm nhập (Penetration Testing).

Trusting Social là một công ty fintech hoạt động dựa trên trí tuệ nhân tạo với mục tiêu cung cấp hệ thống đánh giá điểm tín dụng toàn diện hơn thông qua sử dụng công nghệ big data, dữ liệu xã hội, phân tích dữ liệu từ các website và ứng dụng di động. Giải pháp của Trusting Social giúp những nhà cung cấp dịch vụ tài chính ở các thị trường mới nổi tiếp cận hàng tỷ người tiêu dùng, đặc biệt là những người không được các cơ quan tín dụng chính thống bảo vệ.

EVO là hệ sinh thái công nghệ tài chính độc đáo của Trusting Social, kết nối khách hàng với các sản phẩm tài chính của ngân hàng một cách nhanh chóng và an toàn. Với EVO, khách hàng có thể trải nghiệm các sản phẩm tín dụng nhanh chóng chỉ bằng vài bước điền thông tin cơ bản và thực hiện xác thực danh tính ngay trên điện thoại mà không cần phải chờ đợi tại chi nhánh ngân hàng.

Trusting Social và ngân hàng TPBank đã hợp tác mở rộng để mang đến Thẻ tín dụng TPBank EVO - một sản phẩm thẻ đột phá kết hợp giữa ngân hàng TPBank và nền tảng công nghệ tài chính EVO.

Sở hữu lượng lớn thông tin tài chính quan trọng của khách hàng, vì vậy Trusting Social đã luôn đặt tính bảo mật dữ liệu là ưu tiên hàng đầu. Thẻ tín dụng EVO sử dụng công nghệ mã hoá 256-bit Secure Socket Layer (SSL) giúp bảo vệ thông tin khách hàng tuyệt đối trong quá trình di chuyển dữ liệu trên môi trường Internet. Đồng thời, máy chủ của TPBank và Trusting Social đều được bảo vệ bằng một “bức tường lửa” và hệ thống “phát hiện ngăn chặn xâm nhập (IDS/IPS)” dưới sự theo dõi thường xuyên bởi quản trị viên nhằm ngăn chặn các truy cập trái phép và khả nghi. Đặc biệt, mật khẩu của khách hàng được mã hoá toàn bộ 1 chiều, vì vậy ngay cả người quản trị server cũng không thể biết được mật khẩu của khách hàng.

Hạ tầng triển khai của Thẻ tín dụng TPBank EVO được xây dựng trên nền tảng đám mây, sử dụng Google Cloud Platform cùng công nghệ Cloudflare, Flutter và Go.

Bằng việc tuân thủ chặt chẽ các yêu cầu và quy định riêng của ngành Thẻ thanh toán, Trusting Social đã chủ động lựa chọn sử dụng giải pháp Kiểm thử xâm nhập (Penetration Testing) và tìm kiếm một đơn vị thứ ba để đánh giá bảo mật. Sau quá trình nghiên cứu các công ty, Trusting Social đã quyết định hợp tác cùng CyStack, một trong những công ty hàng đầu về an ninh mạng tại khu vực Việt Nam.

Đối tượng kiểm thử: Khách hàng liệt kê danh sách nhóm chức năng và URL cần tập trung test trên trang thông tin sản phẩm.

Ngoài ra, CyStack khuyến nghị và thực hiện test trang quản trị của trang thông tin này, nhận tài khoản kiểm thử từ khách hàng.

Thời gian triển khai:

• Giai đoạn 1 (24/05/2023 - 03/06/2023)

Trong giai đoạn này, CyStack đã onsite tại văn phòng Trusting Social trong vòng 1 tuần. Với kết quả khả quan, Trusting Social đã tin tưởng và tiếp tục để CyStack thực hiện test bản release giai đoạn 2.

• Giai đoạn 2 (25/07/2023 - 04/08/2023)

Khách hàng lựa chọn tiếp cận kiểm thử theo hướng Blackbox, tức kiểm thử xâm nhập hộp đen. Đây là hình thức kiểm thử mà không có bất kỳ thông tin trước nào về hệ thống được lựa chọn. Các chuyên gia tiếp cận môi trường mục tiêu như một hacker thực thụ, tìm kiếm các lỗ hổng tồn tại bên trong hệ thống và đánh giá khả năng chống lại các cuộc tấn công từ bên ngoài. Điều này giúp doanh nghiệp xác định được mức độ rủi ro và xây dựng kế hoạch bảo mật để ngăn chặn các cuộc tấn công xảy ra.

Kiểm thử xâm nhập là một giải pháp phù hợp với nhu cầu đảm bảo tính an toàn và bảo mật cho sản phẩm thuộc ngành thẻ thanh toán bởi:

• Tính toàn diện: Cho phép kiểm tra toàn bộ hệ thống thẻ tín dụng từ nhiều góc độ, bao gồm ứng dụng, cơ sở dữ liệu, mạng, và các dịch vụ liên quan. Điều này giúp phát hiện các lỗ hổng bảo mật từ nhiều khía cạnh khác nhau.
• Tính chuyên sâu: Được thực hiện bởi các chuyên gia về bảo mật với kiến thức sâu rộng về các phương pháp tấn công và biện pháp phòng ngừa. Họ có thể tìm ra các lỗ hổng mà các giải pháp tự động hoặc không chuyên sâu khác có thể bỏ sót.
• Khả năng mô phỏng tấn công thực tế: Cho phép mô phỏng các kịch bản tấn công thực tế mà tin tặc có thể sử dụng để xâm nhập vào hệ thống thẻ tín dụng. Điều này giúp nhận diện và khắc phục các lỗ hổng bảo mật trước khi chúng được tin tặc tận dụng.
• Cập nhật liên tục: Thường được thực hiện định kỳ hoặc sau mỗi cập nhật hệ thống, giúp đảm bảo rằng sản phẩm thẻ tín dụng luôn được bảo vệ khỏi các mối đe dọa mới nhất.
• Tuân thủ quy định và tiêu chuẩn: Giúp doanh nghiệp đảm bảo rằng sản phẩm thẻ tín dụng tuân thủ các quy định và tiêu chuẩn bảo mật, đặc biệt là PCI DSS (Payment Card Industry Data Security Standard).

Quy trình làm việc của chúng tôi cùng Trusting Social bao gồm các bước:

• Lập kế hoạch và thăm dò: Ở bước đầu tiên, CyStack thực hiện xác định phạm vi và mục tiêu của cuộc kiểm thử, bao gồm các ứng dụng, cơ sở dữ liệu, hạ tầng mạng; xác định các rủi ro tiềm ẩn liên quan đến bảo mật thông tin, bảo vệ dữ liệu cá nhân, và các lỗ hổng tiềm ẩn trong hệ thống thẻ tín dụng; đồng thời thu thập thông tin về môi trường mục tiêu để hiểu rõ hơn về cách thức hoạt động của mục tiêu và những lỗ hổng tiềm ẩn trong môi trường test của Trusting Social.
• Phân tích lỗ hổng: Trong giai đoạn này, các chuyên gia CyStack xác định rõ ràng các lỗ hổng tiềm ẩn trong môi trường test của Trusting Social bằng cách sử dụng các kỹ thuật chuyên sâu như dò quét lỗ hổng, dò quét hệ thống mạng, và đánh giá cấu hình theo các lỗ hổng phổ biến như 1-day flaws, CVEs.
• Khai thác: Đây là bước tấn công thực tế, trong đó các chuyên gia CyStack thực hiện các kỹ thuật để có quyền truy cập trái phép vào hệ thống để khai thác lỗ hổng bảo mật trong hệ thống thẻ tín dụng.
• Sau khai thác: Các chuyên gia CyStack tiếp tục duy trì quyền truy cập vào hệ thống của EVO và leo thang đặc quyền (nếu có thể) nhằm tìm kiếm thêm các lỗ hổng bảo mật vẫn còn khả năng tồn tại.
• Báo cáo: Hoàn tất dự án, CyStack chuẩn bị một bản báo cáo hoàn chỉnh bao gồm tóm tắt quá trình kiểm thử, chi tiết về các lỗ hổng bảo mật được phát hiện, cung cấp khuyến nghị và đề xuất biện pháp cải thiện tính bảo mật cho sản phẩm của Trusting Social.

Sau hai giai đoạn kiểm thử, kết quả thu về như sau:

Giai đoạn 1: