Serviços Financeiros

Serviços
Financeiros

Início Case Studies Segurança de IA nos Serviços Financeiros

Segurança de IA nos Serviços Financeiros: Penetration Testing de Chatbot LLM para um Banco de Referência

Download do Case Study (PDF)

O Resumo

1

Uma avaliação de segurança de LLM completa de um chatbot de literacia financeira virado para o cliente, concluída antes do go-live.

2

Um projeto combinado de IA + Cloud + Web revelou uma divulgação de token de cloud que arriscava o comprometimento total do ambiente.

3

Todas as vulnerabilidades críticas remediadas em pré-produção, sem qualquer exposição a clientes reais ou consequências regulatórias.

O Cliente

Uma instituição financeira global ao serviço de 3,6 milhões de clientes em mais de 500 balcões nacionais e 23 países. A instituição implementou um chatbot de literacia financeira baseado em IA, integrado num website virado para o cliente, e encomendou uma avaliação de segurança de LLM completa antes do go-live.

3,6M

Clientes

500+

Balcões nacionais

23

Países

O Desafio

  • Uma nova classe de risco em ambientes regulados. Implementar um chatbot baseado em LLM numa instituição financeira cria superfícies de ataque que as frameworks de segurança existentes não foram construídas para avaliar e que os reguladores escrutinam cada vez mais.
  • A implementação pública amplifica a exposição. O chatbot foi concebido para ser incorporável em qualquer website, incluindo sites fora do controlo da instituição. Pode ser carregado e explorado a partir de contextos arbitrários de terceiros tornando críticas a prevenção de abuso, a validação de origem e a integridade das respostas.
  • O risco de IA soma-se ao risco de infraestrutura existente. Os LLM não substituem as vulnerabilidades antigas, somam-se a elas. Uma instituição ao serviço de 3,6 milhões de clientes em mais de 500 balcões e 23 países não pode permitir-se pontos cegos em qualquer camada da sua stack.

A Solução

Metodologia de AI Pentesting – Uma abordagem robusta e estruturada, assente em MITRE ATLAS, OWASP LLM Top 10 e OWASP Agentic Top 10 garantindo a cobertura sistemática de todas as categorias de ataque de IA conhecidas.
IA + Cloud + Aplicação Web, um projeto combinado – A implementação integrava o website corporativo e o backend de cloud. O Cloud e o Web Application Pentesting, aplicados em conjunto com a metodologia de IA, foram cruciais: a análise de cloud revelou uma divulgação de token que expunha credenciais, arriscando o comprometimento total do ambiente de cloud.
Capacitar a inovação digital de confiança – Ao proteger a camada de IA, a infraestrutura de cloud e a aplicação Web antes do go-live, o projeto permite à instituição estender serviços de literacia financeira a milhões protegendo simultaneamente os utilizadores finais, os ativos de cloud e a conformidade regulatória.
MITRE ATLAS OWASP LLM Top 10 Cloud Pentesting

Principais Vulnerabilidades

Vulnerabilidades críticas detetadas em todas as camadas da stack, todas identificadas e remediadas antes do lançamento público.

LLM

Unbounded Consumption

Ausência de rate limiting no consumo de tokens ou no comprimento da entrada, um atacante poderia degradar a disponibilidade em todas as instâncias incorporadas.

Impacto: Risco crítico numa implementação pública e incorporável.
Web App

Chatbot Hijacking

O chatbot incorporável poderia ser carregado e explorado a partir de websites arbitrários de terceiros, fora do controlo da instituição.

Impacto: Um atacante poderia incorporar o chatbot noutros websites com impacto financeiro para o cliente.
Cloud

Cloud Token Disclosure

Credenciais de cloud expostas através da camada de integração website–chatbot, com potencial comprometimento total do ambiente de cloud.

Detetada via: Cloud Pentesting da Devoteam Cyber Trust aplicado à camada de integração.

O Impacto

Através deste projeto, a Devoteam Cyber Trust permitiu ao cliente:

  • Descobrir e remediar todas as vulnerabilidades críticas em pré-produção, antes do lançamento público.
  • Fechar uma divulgação de token de cloud que arriscava o comprometimento total do ambiente de cloud.
  • Chegar ao go-live com zero exposição a clientes reais ou consequências regulatórias.
  • Estender serviços de literacia financeira a milhões, protegendo os utilizadores, os ativos de cloud e a conformidade regulatória.

Serviços Relacionados

Pentesting com AI Segurança na Cloud Serviços de Segurança Ofensiva
Voltar aos Case Studies

A sua Segurança
Começa Aqui

Faça parceria com a Devoteam Cyber Trust para obter avaliações de cibersegurança lideradas por especialistas e uma cultura de melhoria contínua do risco.

→ Entre em contacto

Os nossos contactos.

Sede

Torre Fernão de Magalhães
Avenida D. João II, nº 43, 9º Piso, Parque das Nações
1990-084, Lisboa | Portugal
T: +351 21 33 03 740
(chamada para rede fixa nacional)
E: info@integrity.pt

E estamos presentes em mais 18 países da região EMEA.
world map
 




Consentimento Cookies X

A Devoteam Cyber Trust S.A. utiliza cookies para fins analíticos e de apresentação de informação mais personalizada, com base no perfil elaborado pelos seus hábitos de navegação. Se pretende informação mais pormenorizada, pode aceder à nossa Política de Cookies.