Perícia envolvendo investigação de código fonte deixado pelo Pentester contratado para buscar vulnerabilidades em uma empresa do segmento financeiro. Vazamento de dados de titulares, seus beneficiários menores e dados de saúde.
Objetivo: investigação de código fonte.
A empresa em questão, que atua no seguimento financeiro, após contratar um pentest, sofreu vazamento de dados por descuido do prestador de serviços contratado. Após o êxito do PENTEST o profissional entregou o relatório, no qual apontou as principais vulnerabilidades, a profundidade do ataque e as correções necessárias, a empresa chamou um outro prestador de serviços para realizar uma investigação com técnicas de OSINT (Open Source Intelligence).
A prestadora de investigação encontrou em uma Rede de Dados Pública, códigos e dados da contratante, que poderiam comprometer o sigilo dos dados dos seus clientes. Verificou também que os dados encontrados eram os mesmos obtidos durante o Pentest.
Neste momento o jurídico da contratante acionou a perícia para buscar evidências que apontassem para a autoria, realizar a análise do código utilizado no teste de vulnerabilidades, que ainda estava gravado na DeepWeb e calcular o risco e o impacto nos negócios, adquiridos com este incidente.
O Pentester se esqueceu ou não atentou para que o ambiente utilizado recebesse a devida sanitização dos dados obtidos. Os trabalhos foram realizados, os usuários responsáveis pela publicação, não foram identificados, mas o código foi analisado, ajudando do jurídico da empresa a se preparar para possíveis disputas, e também acionar a prestadora de serviços de pentest, sobre as perdas e danos causados.
