+380996133328 [email protected]
ua
ua

Кейс Fraudline: плановий пентест платформи для повідомлень про порушення

Клієнт:
Fraudline — компанія, що спеціалізується на рішеннях для етичного управління, корпоративної відповідальності та безпеки
 
Галузь:
RegTech (регуляторні технології)
Фокус:
Захист конфіденційної інформації whistleblowing-платформи
Основний виклик:
Перевірка безпеки вебплатформи та огляд підходу до безпечної розробки — у межах щорічного аудиту
Ринок:
Міжнародний сегмент
Надані послуги:
автоматизований Gray-box пентест, аудит практик secure coding та додатково ручний аудит логіки 
 
Ключові висновки
  • Виявили 6 технічних вразливостей: 5 низьких та 1 інфо
  • Понадпланово провели ручне тестування бізнес-логіки
  • Використали кастомне розширення Burp Suite для обробки сесій
  • Провели автоматизований Gray-box пентест з правами user + admin
  • Підготували технічний звіт з рекомендаціями та запланували ретест
    • 6
    вразливостей виявлено
    2
    тижні — тривалість тестування
    ​​Burp Suite
    адаптовано під специфіку проєкту
    Кейс Fraudline: плановий пентест платформи для повідомлень про порушення
    Трав. 16, 2025
    Чи варто проводити пентест, якщо система працює без збоїв? Варто. Планова перевірка безпеки для компанії Fraudline виявила вразливості у бізнес-логіці та налаштуваннях захисту. Клієнт регулярно тестує платформу, тому потенційні ризики вдалося виявити завчасно.

    ​​Fraudline — міжнародна компанія середнього розміру, що впроваджує рішення для етичного управління, комплаєнсу та корпоративної безпеки. Її продукти підтримують процеси повідомлення про порушення (whistleblowing) згідно з вимогами ЄС.

    Компанія працює у регульованих галузях і дотримується стандартів GDPR, ISO 27001, ISO 37001 та Євродирективи 2019/1937, тому безпека вебплатформи є ключовим пріоритетом.

    Завдання та виклики
    Fraudline звернулася до Datami для проведення планового автоматизованого пентесту вебдодатка. Основною метою була перевірка рівня захищеності платформи, яка обробляє конфіденційні повідомлення про порушення, і пошук вразливостей, які можуть загрожувати репутації або відповідності регуляторним вимогам.
     
    • Провести автоматизований gray-box пентест вебдодатка
    • Виконати огляд підходу безпечної розробки коду
       
    • Надати детальний звіт із рекомендаціями щодо покращення безпеки
    icon
    Penetration testing
    Gray-box тестування з акаунтами адміна та користувача
    icon
    Аудит безпечного кодування
    Огляд політик, процесів і автоматизованих перевірок коду
    icon
    Звіт і рекомендації
    Звіт про виявлені проблеми та рекомендації щодо усунення
    Методологія Datami: Перевірка безпеки Fraudline
    Наш підхід

    Для Fraudline ми провели автоматизований пентест із gray-box підходом. Використали OWASP ZAP і Nessus, а щоб обійти нестандартну авторизацію через HTTP-заголовок, написали та застосували власне розширення для Burp Suite. 

    Після автоматизованого тестування у команди Datami залишився резерв часу, і ми вирішили дати клієнту більше, ніж того вимагав контракт. Тому було додатково проведено ручний аналіз бізнес-логіки (зміна паролів та завантаження файлів). 

    Gray-box
    Gray-box
    Тестування з правами адміністратора та користувача, без доступу до коду
     
    Ключові етапи роботи та рішення

    Під час проєкту Datami провела автоматизоване тестування вебплатформи та інженерно адаптувала процес до нестандартної обробки сесій на стороні клієнта. Паралельно здійснили огляд практик безпечної розробки.

    Додатково після завершення сканування було виконано ручний аналіз бізнес-логіки, зокрема перевірку функціоналу зміни пароля та завантаження файлів.

    • Підготовка
      Аналіз вихідних даних і доступів (юзер/адмін), підбір інструментів тестування, планування сценаріїв перевірки, створення кастомного розширення для обробки сесій у Burp Suite
    • Перевірка безпеки
      Автоматизоване тестування на проникнення, аналіз безпечної розробки та логіки функцій (форма зміни пароля, завантаження файлів).
       
    • Аналіз і звіт
      Структурований звіт із переліком 6 вразливостей (низького та інформаційного рівня), описами ризиків і практичними рекомендаціями щодо усунення.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    Під час перевірки безпеки вебплатформи Fraudline команда Datami виявила 6 технічних проблем (5 вразливостей низького рівня та 1 інформаційного типу), які здебільшого стосувались логіки авторизації та завантаження файлів.

    Проаналізувавши отримані результати, ми сформували детальний звіт та надали Fraudline рекомендації для покращення цифрової безпеки:

    1. Доопрацювання механізму зміни пароля (вимога введення старого пароля).
    2. Впровадження фільтрації типів файлів для завантаження.
    3. Корекція Content Security Policy.
    4. Підвищення контролю на рівні привілейованих ролей.

    Після впровадження рекомендацій очікуємо зниження ризику витоку даних — для підтвердження ефективності змін заплановано ретест.

    Наші сертифікати
    Ключові результати проєкту

    У результаті співпраці з Datami Fraudline отримала структурований звіт про стан безпеки та чіткий план покращень. 

    Цілі проєкту досягнуті вчасно — за 2 тижні. До того ж у цей строк було виконано додаткові роботи (ручний аналіз бізнес-логіки). 

    Кейс демонструє, що компаніям з етичного комплаєнсу та інформаційної безпеки потрібні регулярні перевірки безпеки для підтримки відповідності стандартам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Недостатній огляд безпечної розробки, ризики в логіці
    Виявлено 6 вразливостей, надані рекомендації
    Критичні вразливості
    Не виявлено до тесту
    Не виявлено, але усунуто логічні прогалини в механізмах
    Компрометація акаунтів
    Ризик для привілейованих ролей
    Ризик мінімізовано через обмеження функцій
    Відповідність безпеці
    Часткова відповідність очікуванням
    Підвищено прозорість та безпечність функціоналу
    Строки
    Орієнтовно 2 тижні
    Завершено за 2 тижні (разом із понадплановим ручним аналізом)
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Пентест та захист платформи для ставок від DDoS

    Пентест та захист платформи для ставок від DDoS

    • Виявили 30 вразливостей у двох вебдодатках
    • Застосували DataGuard і Cloudflare для захисту від DDoS-атак
    Послуги:
    Black-box пентест вебдодатків, впровадження Dataguard
    Лип. 8, 2025
    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    • Виявлено 10 вразливостей, зокрема 3 критичні
    • Підвищено відповідність GDPR, уникнуто потенційних збитків на суму до $300000
    Послуги:
    Пентест, аудит смартконтрактів, аудит безпеки коду, перевірка на SQLi, XSS, RCE, OSINT-аналіз, оцінка безпеки хмарної інфраструктури.
    Черв. 27, 2025
    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    • Виконано Black-box пентест двох вебресурсів і елементів інфраструктури
    • Виявлено 19 вразливостей: 1 критичну, 8 середніх, 7 низьких, 3 інформаційні
    Послуги:
    Black-box пентест двох вебресурсів із різними доменними зонами (UA та UK), перевірка пов'язаних елементів інфраструктури
     
    Черв. 6, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році Datami Newsroom
    Datami Newsroom

    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році

    Керівники компаній часто дуже недооцінюють внутрішні кіберзагрози, хоча саме дії працівників, навіть ненавмисні, можуть призвести до катастрофічних наслідків.

    Лип. 8, 2025 3 хв.
    ТОП-5 компаній, які відмовились сплачувати викуп хакерам Datami Newsroom
    Datami Newsroom

    ТОП-5 компаній, які відмовились сплачувати викуп хакерам

    У травні 2025 року хакери зламали Coinbase, викрали дані клієнтів та вимагали викуп. Проте криптобіржа відмовилася і звернулася до правоохоронців по допомогу. Це – лише один з прикладів боротьби компаній з кібершантажем.

    Лип. 4, 2025 3 хв.
    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися? Datami Newsroom
    Datami Newsroom

    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися?

    Кібербезпека стикається з викликом стрімкого розвитку технологій. Щоб залишатися в тренді, потрібно не лише слідкувати за інноваціями, а й передбачати їх. Прогнозування тенденцій 2025 року допомагає зазирнути в майбутнє цифрового світу та підготуватися до змін.

    Лип. 2, 2025 3 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie