ua

Оцінка безпеки AES-256 і модуля автентифікації

Клієнт:
HIDEEZ — компанія-розробник рішень у сфері цифрової ідентифікації
Галузь:
Медицина
Фокус:
Захист персональних і корпоративних даних користувачів B2B-сегмента
Основний виклик:
Перевірка безпеки власноруч реалізованого шифрування AES-256 та механізму автентифікації перед релізом нового продукту
Ринок:
Україна (орієнтація на міжнародні B2B-ринки)
Надані послуги:
Ключові висновки
  • Знижено криптографічний ризик до низького рівня перед релізом
  • Усунено критичну вразливість менше, ніж за 48 годин
  • Виявлено 6 вразливостей: 1 критична, 2 середні, 3 низькі
  • Проведено white-box пентест криптографії та автентифікації
  • Впроваджено рекомендації згідно з OWASP ASVS
  • 48
    годин на усунення критичної вразливості
    6
    вразливостей виявлено і виправлено
    3
    тижні тривалість проєкту
    Оцінка безпеки AES-256 і модуля автентифікації
    Чи можна за 3 тижні підготувати механізми шифрування та автентифікації до випуску нового продукту? - Так! Компанія HIDEEZ звернулася до Datami для перевірки власних рішень — модулів криптографії AES-256 та автентифікації. Фахівці Datami провели white-box пентест, виявили критичні вразливості та допомогли знизити ризик компрометації даних до низького рівня.

    HIDEEZ — українська компанія, яка розробляє інноваційні рішення для цифрової ідентифікації. Серед продуктів — носимі пристрої та програмні компоненти для автентифікації, орієнтовані на B2B-аудиторію.

    Оскільки HIDEEZ працює у сфері з підвищеними кіберризиками та обробляє персональні й корпоративні дані, безпека є критично важливою для збереження довіри клієнтів.

    Завдання та виклики
    HIDEEZ ініціювала перевірку системи шифрування та аутентифікації перед запуском оновленого продукту, щоб підтвердити надійність власної реалізації шифрування AES-256 та механізму автентифікації.

    Метою проєкту було виявити вразливості, оцінити ризики та перевірити захищеність ключових компонентів системи.
    • Провести white-box пентест із доступом до вихідного коду модулів шифрування та автентифікації.
    • Виконати статичне тестування коду (SAST) і динамічний аналіз (DAST) з фокусом на криптографію.
    • Надати докладний звіт з виявленими вразливостями та технічними рекомендаціями щодо посилення безпеки системи.
    icon
    Проведення пентесту
    White-box тестування компонентів криптографії та автентифікації
    icon
    Виявлення вразливостей
    SAST-аналіз коду, DAST-тестування та ручне моделювання атак
    icon
    Звіт і рекомендації
    Докладний опис ризиків і технічні рекомендації щодо посилення безпеки

    Наш підхід

    Datami провела цільову перевірку безпеки модулів шифрування та автентифікації HIDEEZ, аналізуючи вихідний код і логіку авторизації.

    Основний метод — пентест з white-box підходом: команда мала доступ до вихідного коду для глибокої перевірки критичних компонентів.

    Ми поєднали статичний аналіз коду за допомогою інструментів, ручний аудит функціоналу, моделювання атак і ретельну перевірку шифрування.

    Попри обмеження доступу лише до частин коду, команді вдалося виявити суттєві вразливості та запропонувати ефективні покращення.

    White-box

    White-box

    Тестування здійснювалося з повним доступом до вихідного коду, що дозволило змоделювати реальні сценарії атак і отримати об'єктивну картину безпеки продукту.
    Основні етапи роботи та рішення

    Під час проєкту Datami проаналізувала надані фрагменти вихідного коду HIDEEZ, зосередившись на шифруванні та автентифікації. Перевірка логіки авторизації та реалізації криптографії дозволила виявити критичні зони ризику.

    Через обмежений доступ команда підготувала симуляційне оточення та адаптувала процес перевірки без повного розгортання продукту.

    • Підготовка
      Вивчення вихідного коду, уточнення технічних деталей, створення симуляційного середовища, планування сценаріїв тестування з фокусом на криптографію та автентифікацію через ризики AES-256.
    • Тестування
      White-box пентест з використанням Graudit, Burp Suite, власних скриптів, SAST-аналізу, декомпіляції та ручного моделювання атак для виявлення слабких місць у шифруванні й логіці авторизації.
    • Аналіз і звіт
      Детальний звіт з описом виявлених вразливостей, оцінкою ризиків і рекомендаціями для зміцнення безпеки.
       
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    До початку проєкту рівень безпеки продукту HIDEEZ був оцінений як високий ризик через недостатню перевірку власних реалізацій шифрування та автентифікації.

    Під час white-box пентесту команда Datami виявила 6 вразливостей: 1 критичну (у шифруванні даних), 2 середні (у логіці автентифікації) та 3 низькі (наприклад, hardcoded значення у коді).

    1. оновлення криптографічної бібліотеки та покращення реалізації AES-256;
    2. перевірка безпечності викликів API та усунення потенційних уразливостей;
    3. регулярні перевірки коду і впровадження SAST у CI/CD-процеси.

    Після впровадження рекомендацій рівень ризику був знижений із високого до низького. Успішна оптимізація безпеки допомогла уникнути потенційного витоку даних і репутаційних втрат.

    Проєкт реалізовано за 3 тижні замість типових 4–5. Критичну вразливість клієнт усунув менше, ніж за 48 годин.

    Наші сертифікати

    Datami – компанія з кібербезпеки, кваліфікація якої підтверджена 26 сертифікаціями та міжнародними стандартами. Це дозволяє нам виконувати завдання різної складності, дотримуючись вимог до безпеки, конфіденційності та етичних практик.
    Ключові висновки проєкту

    Завдяки Datami компанія HIDEEZ за 3 тижні отримала цільову перевірку безпеки своїх криптографічних механізмів та систем автентифікації.

    Під час проєкту перевірено захищеність наданого коду перед релізом та виявлено 6 вразливостей. Впроваджені рекомендації знизили рівень ризику з високого до низького. Усі завдання були виконані вчасно.

    Кейс підтверджує, що навіть компанії з кіберзахисту потребують незалежного аудиту.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через необстежені модулі шифрування
    Рівень ризику знижено до низького після впровадження змін
    Критичні вразливості
    Можливість зламу через прогнозовані ключі шифрування
    1 критична вразливість виправлена за 48 годин
    Компрометація акаунтів
    Потенційний ризик через логіку автентифікації
    Знижено після оновлення алгоритмів і перевірок
    Відповідність безпеці
    Часткова відповідність безпеці OWASP
    Впроваджено практики OWASP ASVS, посилено контроль доступу
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Впровадження SIEM Wazuh для фінансової компанії
    Впровадження SIEM Wazuh для фінансової компанії
    • Забезпечено готовність до аудиту PCI DSS та ISO 27001
    • Кількість хибних спрацювань знижено на 60–70%
    Послуги:
    Впровадження SIEM (Wazuh)
    Лип. 1, 2026
    Аудит безпеки блокчейн-проєкту
    Аудит безпеки блокчейн-проєкту
    • Перевірено 9000+ рядків Rust-коду.
    • Проєкт сертифіковано Datami для криптопроєктів
    Послуги:
    Blockchain Security Audit
    Черв. 30, 2026
    Впровадження SOC для ІТ-компанії
    Впровадження SOC для ІТ-компанії
    • Налаштовано 47 сценаріїв виявлення, 25 сценаріїв реагування
    • Відповідність ISO 27001 підвищено з 32% до 94%
    Послуги:
    SOC / SIEM Implementation
    Черв. 30, 2026
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Пентест мобільних додатків: захист від шкідливих застосунків Олександр Філіпов
    Олександр Філіпов
    Пентест мобільних додатків: захист від шкідливих застосунків

    Шкідливі мобільні додатки атакують не лише смартфон — вони цілеспрямовано використовують вразливості вашого застосунку. Читайте, як пентест виявляє ці слабкі місця до того, як ними скористається зловмисник.

    15 хв. Черв. 30, 2026
    Топ проблем кібербезпеки бізнесу Олександр Філіпов
    Олександр Філіпов
    Топ проблем кібербезпеки бізнесу

    З якими проблемами кібербезпеки найчастіше стикається бізнес? У цій статті розглядаємо топ-9 найпоширеніших типів проблем за рівнем критичності та даємо рекомендації щодо їх усунення.

    3 хв. Трав. 4, 2026
    Що таке інцидент кібербезпеки? Олександр Філіпов
    Олександр Філіпов
    Що таке інцидент кібербезпеки?

    Кіберінциденти давно перестали бути головним болем лише великих корпорацій і державних структур. Сьогодні це звичайна частина цифрової реальності, з якою стикаються компанії будь-якого масштабу.

    3 хв. Трав. 4, 2026
    Замовте консультацію
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie