Помогли «Ozon Банку» проверить сеть новых банкоматов

В 2025 году «Ozon Банк» развернул кампанию по установке сети собственных банкоматов по всей стране. BI.ZONE Embedded Systems Security Assessment (BI.ZONE ESSA) и специалисты по тестированию на проникновение проверили устройства и провели комплексную оценку безопасности.

Исследователи из команды BI.ZONE ESSA оценили уровень защищенности банкоматов на всех уровнях: от аппаратных компонентов и встроенного ПО до прикладных приложений и внешних интерфейсов. Специалисты проверили образ ОС управляющего ПК и проанализировали:

• возможность выхода из режима киоска,
• безопасность загрузки управляющего ПК,
• возможность повысить привилегии в ОС,
• возможность обойти средства защиты Device Control и Application Control,
• обработку и хранение конфиденциальных данных клиента.

Кроме того, эксперты проверили, насколько банкоматы защищены от мошеннических и физических атак, включая несанкционированный доступ к сервисному кабинету, а также оценили безопасность процессов внесения и выдачи денег в банкомате.

Наши специалисты по тестированию на проникновение смоделировали действия злоумышленников. Также эксперты провели ряд многовекторных проверок: протестировали сетевой периметр, выполнили поиск уязвимостей на уровне приложений, попробовали эскалировать привилегии и получить доступ к критическим активам, в том числе конфиденциальной информации.

Команда проанализировала следующие направления:

• Защищенность сетевого периметра. Проверили, возможно ли преодолеть периметр и получить доступ к внутренним ресурсам.
• Безопасность внутренних систем. Смоделировали атаки и попытались скомпрометировать внутренние IT‑сервисы.
• Разграничение доступа. Оценили риски получения несанкционированного доступа к критическим активам.