+380996133328 [email protected]
ua
ua

Тестування безпеки API для відповідності GDPR

Клієнт:
BookingSync — французька платформа для управління короткостроковою орендою нерухомості
Галузь:
Розробка програмного забезпечення
Фокус:
Захист персональних даних користувачів, які взаємодіють через вебпортал та API
 
Основний виклик:
Перевірка безпеки API-ендпоінтів задля запобігання витоку персональних даних та несанкціонованого доступу
Ринок:
Міжнародний (переважно Європа)
Надані послуги:
Gray-box тестування на проникнення API-ендпоінтів
Ключові висновки
  • Оцінено потоки даних API для забезпечення відповідності GDPR
  • Надано рішення для покращення захисту персональних даних
  • Виявлено кілька low-level вразливостей
  • Знижено ризик витоку даних та репутаційних втрат
    • 100%
    відповідність кращим практикам безпеки API
    3+
    low-level вразливості знайдено та усунено
    3
    тижні тривалість тестування
    Тестування безпеки API для відповідності GDPR
    Бер. 28, 2025
    14 хв
    Чи завжди розширення API безпечне для платформи? Міжнародна компанія BookingSync вирішила не ризикувати й ініціювала перевірку своїх API-точок доступу. Команда Datami провела gray-box пентест і виявила low-level вразливості. Отримані рекомендації дозволили BookingSync підвищити захист API та мінімізувати ризики витоку даних.

    BookingSync — французька технологічна компанія, яка пропонує платформу для управління короткостроковою орендою нерухомості. BookingSync обслуговує міжнародний ринок, переважно країни Європи, і щодня забезпечує зручний доступ тисячам орендодавців та орендарів через вебпортал і API-інтеграції.

    Хоча компанія не працює в регульованій галузі, вона обробляє великі обсяги персональних даних користувачів, що робить захист системи надзвичайно важливим.

     

    Завдання та виклики
    Основні побоювання BookingSync — несанкціонований доступ до API та можливий витік даних. Тому компанія ініціювала планову перевірку безпеки, щоб уникнути репутаційних ризиків.

    Метою проєкту стала перевірка наявності потенційних вразливостей в API-точках доступу та стійкості до зовнішніх загроз.

    Завдання для команди:
     
    • 1. Провести gray-box пентест актуальних API-ендпоінтів.
    • 2. Перевірити наявність вразливостей, які можуть призвести до компрометації даних, та оцінити рівень безпеки.
    • 3. Підготувати глибокий звіт з рекомендаціями щодо покращення документації API та майбутніх тестувань.
    icon
    Penetration testing
    Gray-box пентест точок доступу API
    icon
    Ідентифікація вразливостей
    Виявлення та пріоритезація ризиків
    icon
    Звіт і рекомендації
    Детальний звіт, поради для покращення безпеки
    Методологія Datami: перевірка безпеки BookingSync

    Наш підхід

    Для перевірки безпеки API-точок доступу французької платформи BookingSync Datami застосувала пентест із gray-box підходом: команда мала частковий доступ до технічної документації, що дозволило детально дослідити логіку роботи ендпоінтів і типові сценарії доступу.

    Ми поєднали автоматизовані перевірки за допомогою Burp Suite API Scan та ручні методи тестування — це забезпечило комплексне охоплення типових і нетипових векторів атак.

     

    Gray-box

    Gray-box

    Тестування проводилося з частковим доступом до внутрішньої інформації, що дозволило змоделювати типові дії потенційного зловмисника з базовим рівнем знань і доступу, наближеним до реальних ризиків.
     
    Основні етапи роботи та рішення

    Команда Datami провела тестування API платформи BookingSync із фокусом на виявлення вразливостей, що можуть призвести до витоку персональних даних. Застосовано комбінацію автоматизованого сканування Burp Suite API Scan та ручного аналізу.

    Процес складався з таких етапів:

     

    • Підготовка
      Аналіз документації, планування перевірки, вибір актуальних точок доступу.
    • Тестування
      Gray-box пентест API автоматизованими та ручними методами з перевіркою автентифікації та стійкості до несанкціонованого доступу.
    • Аналіз і звіт
      Підготовка звіту з описом low-level вразливостей і рекомендаціями щодо покращення безпеки та документації.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості

    Результати та рекомендації

    До початку проєкту рівень ризику був невизначеним: BookingSync постійно розширювала API-точки доступу без повного аудиту безпеки, що створювало потенційні загрози витоку персональних даних.

    Під час gray-box penetration testing команда Datami виявила кілька low-level вразливостей, які не становили критичної загрози, але могли бути використані для несанкціонованого доступу.

    Datami надала BookingSync такі рекомендації:

    1. Регулярно перевіряти нові API-ендпоінти на відповідність безпековим вимогам.
    2. Удосконалити структуру й деталізацію API-документації.
    3. Впровадити внутрішній процес безперервного тестування API перед релізами.

    Після реалізації рекомендацій покращився рівень безпеки платформи, а ризик компрометації через API знизився. Компанія уникла потенційного витоку даних, який міг призвести до репутаційних втрат.

    Проєкт виконано за 3 тижні — це майже вдвічі швидше за типовий ринковий термін (4–6 тижнів). Критичних інцидентів не зафіксовано, а всі виявлені вразливості було оперативно усунуто.

    Наші сертифікати

    Ключові висновки проєкту

    Завдяки тестуванню від Datami, BookingSync отримала актуальну картину стану безпеки API, усунула ризики низького рівня та сформувала чіткий план подальших дій. Проєкт допоміг зміцнити захист персональних даних користувачів і запобігти потенційним витокам.

    Цей кейс є підтвердженням того, навіть технологічні компанії з розвинутими цифровими продуктами потребують регулярного тестування на проникнення для підтримки належного рівня безпеки.

     

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Невизначений ризик через постійне розширення API
    Покращено, виявлено та усунуто кілька low-level вразливостей
    Критичні вразливості
    Не зафіксовано, але були потенційні загрози доступу
    Критичних вразливостей не виявлено
    Компрометація акаунтів
    Теоретично можлива через API-логіку
    Ризики знижено завдяки покращенню автентифікації
    Відповідність безпеці
    Часткова відповідність практикам
    Досягнуто відповідності кращим практикам захисту API
    Строки
    Стандартно 4–6 тижнів
    Реалізовано за 3 тижні
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie