+380996133328 [email protected]
ua
ua

Оцінка безпеки AES-256 і модуля автентифікації

Клієнт:
HIDEEZ — компанія-розробник рішень у сфері цифрової ідентифікації
Галузь:
Медицина
Фокус:
Захист персональних і корпоративних даних користувачів B2B-сегмента
Основний виклик:
Перевірка безпеки власноруч реалізованого шифрування AES-256 та механізму автентифікації перед релізом нового продукту
Ринок:
Україна (орієнтація на міжнародні B2B-ринки)
Надані послуги:
White-box пентест, перевірка безпеки коду, SAST & DAST
Ключові висновки
  • Знижено криптографічний ризик до низького рівня перед релізом
  • Усунено критичну вразливість менше, ніж за 48 годин
  • Виявлено 6 вразливостей: 1 критична, 2 середні, 3 низькі
  • Проведено white-box пентест криптографії та автентифікації
  • Впроваджено рекомендації згідно з OWASP ASVS
    • 48
    годин на усунення критичної вразливості
    6
    вразливостей виявлено і виправлено
    3
    тижні тривалість проєкту
    Оцінка безпеки AES-256 і модуля автентифікації
    Лют. 14, 2025
    14 хв
    Чи можна за 3 тижні підготувати механізми шифрування та автентифікації до випуску нового продукту? - Так! Компанія HIDEEZ звернулася до Datami для перевірки власних рішень — модулів криптографії AES-256 та автентифікації. Фахівці Datami провели white-box пентест, виявили критичні вразливості та допомогли знизити ризик компрометації даних до низького рівня.

    HIDEEZ — українська компанія, яка розробляє інноваційні рішення для цифрової ідентифікації. Серед продуктів — носимі пристрої та програмні компоненти для автентифікації, орієнтовані на B2B-аудиторію.

    Оскільки HIDEEZ працює у сфері з підвищеними кіберризиками та обробляє персональні й корпоративні дані, безпека є критично важливою для збереження довіри клієнтів.

    Завдання та виклики
    HIDEEZ ініціювала перевірку системи шифрування та аутентифікації перед запуском оновленого продукту, щоб підтвердити надійність власної реалізації шифрування AES-256 та механізму автентифікації.

    Метою проєкту було виявити вразливості, оцінити ризики та перевірити захищеність ключових компонентів системи.
    • Провести white-box пентест із доступом до вихідного коду модулів шифрування та автентифікації.
    • Виконати статичне тестування коду (SAST) і динамічний аналіз (DAST) з фокусом на криптографію.
    • Надати докладний звіт з виявленими вразливостями та технічними рекомендаціями щодо посилення безпеки системи.
    icon
    Проведення пентесту
    White-box тестування компонентів криптографії та автентифікації
    icon
    Виявлення вразливостей
    SAST-аналіз коду, DAST-тестування та ручне моделювання атак
    icon
    Звіт і рекомендації
    Докладний опис ризиків і технічні рекомендації щодо посилення безпеки
    Методологія Datami: перевірка безпеки HIDEEZ

    Наш підхід

    Datami провела цільову перевірку безпеки модулів шифрування та автентифікації HIDEEZ, аналізуючи вихідний код і логіку авторизації.

    Основний метод — пентест з white-box підходом: команда мала доступ до вихідного коду для глибокої перевірки критичних компонентів.

    Ми поєднали статичний аналіз коду за допомогою інструментів, ручний аудит функціоналу, моделювання атак і ретельну перевірку шифрування.

    Попри обмеження доступу лише до частин коду, команді вдалося виявити суттєві вразливості та запропонувати ефективні покращення.

    White-box

    White-box

    Тестування здійснювалося з повним доступом до вихідного коду, що дозволило змоделювати реальні сценарії атак і отримати об'єктивну картину безпеки продукту.
    Основні етапи роботи та рішення

    Під час проєкту Datami проаналізувала надані фрагменти вихідного коду HIDEEZ, зосередившись на шифруванні та автентифікації. Перевірка логіки авторизації та реалізації криптографії дозволила виявити критичні зони ризику.

    Через обмежений доступ команда підготувала симуляційне оточення та адаптувала процес перевірки без повного розгортання продукту.

    • Підготовка
      Вивчення вихідного коду, уточнення технічних деталей, створення симуляційного середовища, планування сценаріїв тестування з фокусом на криптографію та автентифікацію через ризики AES-256.
    • Тестування
      White-box пентест з використанням Graudit, Burp Suite, власних скриптів, SAST-аналізу, декомпіляції та ручного моделювання атак для виявлення слабких місць у шифруванні й логіці авторизації.
    • Аналіз і звіт
      Детальний звіт з описом виявлених вразливостей, оцінкою ризиків і рекомендаціями для зміцнення безпеки.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості

    Результати та рекомендації

    До початку проєкту рівень безпеки продукту HIDEEZ був оцінений як високий ризик через недостатню перевірку власних реалізацій шифрування та автентифікації.

    Під час white-box пентесту команда Datami виявила 6 вразливостей: 1 критичну (у шифруванні даних), 2 середні (у логіці автентифікації) та 3 низькі (наприклад, hardcoded значення у коді).

    1. оновлення криптографічної бібліотеки та покращення реалізації AES-256;
    2. перевірка безпечності викликів API та усунення потенційних уразливостей;
    3. регулярні перевірки коду і впровадження SAST у CI/CD-процеси.

    Після впровадження рекомендацій рівень ризику був знижений із високого до низького. Успішна оптимізація безпеки допомогла уникнути потенційного витоку даних і репутаційних втрат.

    Проєкт реалізовано за 3 тижні замість типових 4–5. Критичну вразливість клієнт усунув менше, ніж за 48 годин.

    Наші сертифікати

    Ключові висновки проєкту

    Завдяки Datami компанія HIDEEZ за 3 тижні отримала цільову перевірку безпеки своїх криптографічних механізмів та систем автентифікації.

    Під час проєкту перевірено захищеність наданого коду перед релізом та виявлено 6 вразливостей. Впроваджені рекомендації знизили рівень ризику з високого до низького. Усі завдання були виконані вчасно.

    Кейс підтверджує, що навіть компанії з кіберзахисту потребують незалежного аудиту.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через необстежені модулі шифрування
    Рівень ризику знижено до низького після впровадження змін
    Критичні вразливості
    Можливість зламу через прогнозовані ключі шифрування
    1 критична вразливість виправлена за 48 годин
    Компрометація акаунтів
    Потенційний ризик через логіку автентифікації
    Знижено після оновлення алгоритмів і перевірок
    Відповідність безпеці
    Часткова відповідність безпеці OWASP
    Впроваджено практики OWASP ASVS, посилено контроль доступу
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie