+380996133328 [email protected]
ua
ua

Кейс BookingSync: Пентест API для захисту персональних даних

Клієнт:
BookingSync — французька платформа для управління короткостроковою орендою нерухомості
Галузь:
Розробка програмного забезпечення
Фокус:
Захист персональних даних користувачів, які взаємодіють через вебпортал та API
 
Основний виклик:
Перевірка безпеки API-ендпоінтів задля запобігання витоку персональних даних та несанкціонованого доступу
Ринок:
Міжнародний (переважно Європа)
Надані послуги:
Gray-box пентест API-ендпоінтів із використанням Burp Suite API Scan і ручних перевірок
Ключові висновки
  • Проведено gray-box пентест API-ендпоінтів
  • Виявлено кілька low-level вразливостей
  • Надано звіт із рекомендаціями щодо посилення безпеки
  • Знижено ризик витоку даних, уникнуто репутаційних втрат
    • 100%
    відповідність кращим практикам безпеки API
    3+
    low-level вразливості знайдено та усунено
    3
    тижні тривалість тестування
    Кейс BookingSync: Пентест API для захисту персональних даних
    Бер. 28, 2025
    14 хв
    Чи завжди розширення API безпечне для платформи? Міжнародна компанія BookingSync вирішила не ризикувати й ініціювала перевірку своїх API-точок доступу. Команда Datami провела gray-box пентест і виявила low-level вразливості. Отримані рекомендації дозволили BookingSync підвищити захист API та мінімізувати ризики витоку даних.

    BookingSync — французька технологічна компанія, яка пропонує платформу для управління короткостроковою орендою нерухомості. BookingSync обслуговує міжнародний ринок, переважно країни Європи, і щодня забезпечує зручний доступ тисячам орендодавців та орендарів через вебпортал і API-інтеграції.

    Хоча компанія не працює в регульованій галузі, вона обробляє великі обсяги персональних даних користувачів, що робить захист системи надзвичайно важливим.

     

    Завдання та виклики
    Основні побоювання BookingSync — несанкціонований доступ до API та можливий витік даних. Тому компанія ініціювала планову перевірку безпеки, щоб уникнути репутаційних ризиків.

    Метою проєкту стала перевірка наявності потенційних вразливостей в API-точках доступу та стійкості до зовнішніх загроз.

    Завдання для команди:
     
    • 1. Провести gray-box пентест актуальних API-ендпоінтів.
    • 2. Перевірити наявність вразливостей, які можуть призвести до компрометації даних, та оцінити рівень безпеки.
    • 3. Підготувати глибокий звіт з рекомендаціями щодо покращення документації API та майбутніх тестувань.
    icon
    Penetration testing
    Gray-box пентест точок доступу API
    icon
    Ідентифікація вразливостей
    Виявлення та пріоритезація ризиків
    icon
    Звіт і рекомендації
    Детальний звіт, поради для покращення безпеки
    Методологія Datami: перевірка безпеки BookingSync
    Наш підхід

    Для перевірки безпеки API-точок доступу французької платформи BookingSync Datami застосувала пентест із gray-box підходом: команда мала частковий доступ до технічної документації, що дозволило детально дослідити логіку роботи ендпоінтів і типові сценарії доступу.

    Ми поєднали автоматизовані перевірки за допомогою Burp Suite API Scan та ручні методи тестування — це забезпечило комплексне охоплення типових і нетипових векторів атак.

     

    Gray-box
    Gray-box
    Тестування проводилося з частковим доступом до внутрішньої інформації, що дозволило змоделювати типові дії потенційного зловмисника з базовим рівнем знань і доступу, наближеним до реальних ризиків.
     
    Основні етапи роботи та рішення

    Команда Datami провела тестування API платформи BookingSync із фокусом на виявлення вразливостей, що можуть призвести до витоку персональних даних. Застосовано комбінацію автоматизованого сканування Burp Suite API Scan та ручного аналізу.

    Процес складався з таких етапів:

     

    • Підготовка
      Аналіз документації, планування перевірки, вибір актуальних точок доступу.
    • Тестування
      Gray-box пентест API автоматизованими та ручними методами з перевіркою автентифікації та стійкості до несанкціонованого доступу.
    • Аналіз і звіт
      Підготовка звіту з описом low-level вразливостей і рекомендаціями щодо покращення безпеки та документації.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    До початку проєкту рівень ризику був невизначеним: BookingSync постійно розширювала API-точки доступу без повного аудиту безпеки, що створювало потенційні загрози витоку персональних даних.

    Під час gray-box penetration testing команда Datami виявила кілька low-level вразливостей, які не становили критичної загрози, але могли бути використані для несанкціонованого доступу.

    Datami надала BookingSync такі рекомендації:

    1. Регулярно перевіряти нові API-ендпоінти на відповідність безпековим вимогам.
    2. Удосконалити структуру й деталізацію API-документації.
    3. Впровадити внутрішній процес безперервного тестування API перед релізами.

    Після реалізації рекомендацій покращився рівень безпеки платформи, а ризик компрометації через API знизився. Компанія уникла потенційного витоку даних, який міг призвести до репутаційних втрат.

    Проєкт виконано за 3 тижні — це майже вдвічі швидше за типовий ринковий термін (4–6 тижнів). Критичних інцидентів не зафіксовано, а всі виявлені вразливості було оперативно усунуто.

    Наші сертифікати
    Ключові висновки проєкту

    Завдяки тестуванню від Datami, BookingSync отримала актуальну картину стану безпеки API, усунула ризики низького рівня та сформувала чіткий план подальших дій. Проєкт допоміг зміцнити захист персональних даних користувачів і запобігти потенційним витокам.

    Цей кейс є підтвердженням того, навіть технологічні компанії з розвинутими цифровими продуктами потребують регулярного тестування на проникнення для підтримки належного рівня безпеки.

     

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Невизначений ризик через постійне розширення API
    Покращено, виявлено та усунуто кілька low-level вразливостей
    Критичні вразливості
    Не зафіксовано, але були потенційні загрози доступу
    Критичних вразливостей не виявлено
    Компрометація акаунтів
    Теоретично можлива через API-логіку
    Ризики знижено завдяки покращенню автентифікації
    Відповідність безпеці
    Часткова відповідність практикам
    Досягнуто відповідності кращим практикам захисту API
    Строки
    Стандартно 4–6 тижнів
    Реалізовано за 3 тижні
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Пентест та захист платформи для ставок від DDoS

    Пентест та захист платформи для ставок від DDoS

    • Виявили 30 вразливостей у двох вебдодатках
    • Застосували DataGuard і Cloudflare для захисту від DDoS-атак
    Послуги:
    Black-box пентест вебдодатків, впровадження Dataguard
    Лип. 8, 2025
    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    • Виявлено 10 вразливостей, зокрема 3 критичні
    • Підвищено відповідність GDPR, уникнуто потенційних збитків на суму до $300000
    Послуги:
    Пентест, аудит смартконтрактів, аудит безпеки коду, перевірка на SQLi, XSS, RCE, OSINT-аналіз, оцінка безпеки хмарної інфраструктури.
    Черв. 27, 2025
    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    • Виконано Black-box пентест двох вебресурсів і елементів інфраструктури
    • Виявлено 19 вразливостей: 1 критичну, 8 середніх, 7 низьких, 3 інформаційні
    Послуги:
    Black-box пентест двох вебресурсів із різними доменними зонами (UA та UK), перевірка пов'язаних елементів інфраструктури
     
    Черв. 6, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році Datami Newsroom
    Datami Newsroom

    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році

    Керівники компаній часто дуже недооцінюють внутрішні кіберзагрози, хоча саме дії працівників, навіть ненавмисні, можуть призвести до катастрофічних наслідків.

    Лип. 8, 2025 3 хв.
    ТОП-5 компаній, які відмовились сплачувати викуп хакерам Datami Newsroom
    Datami Newsroom

    ТОП-5 компаній, які відмовились сплачувати викуп хакерам

    У травні 2025 року хакери зламали Coinbase, викрали дані клієнтів та вимагали викуп. Проте криптобіржа відмовилася і звернулася до правоохоронців по допомогу. Це – лише один з прикладів боротьби компаній з кібершантажем.

    Лип. 4, 2025 3 хв.
    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися? Datami Newsroom
    Datami Newsroom

    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися?

    Кібербезпека стикається з викликом стрімкого розвитку технологій. Щоб залишатися в тренді, потрібно не лише слідкувати за інноваціями, а й передбачати їх. Прогнозування тенденцій 2025 року допомагає зазирнути в майбутнє цифрового світу та підготуватися до змін.

    Лип. 2, 2025 3 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie