+380996133328 [email protected]
ua
ua

Оцінка безпеки AES-256 і модуля автентифікації

Клієнт:
HIDEEZ — компанія-розробник рішень у сфері цифрової ідентифікації
Галузь:
Медицина
Фокус:
Захист персональних і корпоративних даних користувачів B2B-сегмента
Основний виклик:
Перевірка безпеки власноруч реалізованого шифрування AES-256 та механізму автентифікації перед релізом нового продукту
Ринок:
Україна (орієнтація на міжнародні B2B-ринки)
Надані послуги:
White-box пентест, перевірка безпеки коду, SAST & DAST
Ключові висновки
  • Знижено криптографічний ризик до низького рівня перед релізом
  • Усунено критичну вразливість менше, ніж за 48 годин
  • Виявлено 6 вразливостей: 1 критична, 2 середні, 3 низькі
  • Проведено white-box пентест криптографії та автентифікації
  • Впроваджено рекомендації згідно з OWASP ASVS
    • 48
    годин на усунення критичної вразливості
    6
    вразливостей виявлено і виправлено
    3
    тижні тривалість проєкту
    Оцінка безпеки AES-256 і модуля автентифікації
    Лют. 14, 2025
    14 хв
    Чи можна за 3 тижні підготувати механізми шифрування та автентифікації до випуску нового продукту? - Так! Компанія HIDEEZ звернулася до Datami для перевірки власних рішень — модулів криптографії AES-256 та автентифікації. Фахівці Datami провели white-box пентест, виявили критичні вразливості та допомогли знизити ризик компрометації даних до низького рівня.

    HIDEEZ — українська компанія, яка розробляє інноваційні рішення для цифрової ідентифікації. Серед продуктів — носимі пристрої та програмні компоненти для автентифікації, орієнтовані на B2B-аудиторію.

    Оскільки HIDEEZ працює у сфері з підвищеними кіберризиками та обробляє персональні й корпоративні дані, безпека є критично важливою для збереження довіри клієнтів.

    Завдання та виклики
    HIDEEZ ініціювала перевірку системи шифрування та аутентифікації перед запуском оновленого продукту, щоб підтвердити надійність власної реалізації шифрування AES-256 та механізму автентифікації.

    Метою проєкту було виявити вразливості, оцінити ризики та перевірити захищеність ключових компонентів системи.
    • Провести white-box пентест із доступом до вихідного коду модулів шифрування та автентифікації.
    • Виконати статичне тестування коду (SAST) і динамічний аналіз (DAST) з фокусом на криптографію.
    • Надати докладний звіт з виявленими вразливостями та технічними рекомендаціями щодо посилення безпеки системи.
    icon
    Проведення пентесту
    White-box тестування компонентів криптографії та автентифікації
    icon
    Виявлення вразливостей
    SAST-аналіз коду, DAST-тестування та ручне моделювання атак
    icon
    Звіт і рекомендації
    Докладний опис ризиків і технічні рекомендації щодо посилення безпеки
    Методологія Datami: перевірка безпеки HIDEEZ
    Наш підхід

    Datami провела цільову перевірку безпеки модулів шифрування та автентифікації HIDEEZ, аналізуючи вихідний код і логіку авторизації.

    Основний метод — пентест з white-box підходом: команда мала доступ до вихідного коду для глибокої перевірки критичних компонентів.

    Ми поєднали статичний аналіз коду за допомогою інструментів, ручний аудит функціоналу, моделювання атак і ретельну перевірку шифрування.

    Попри обмеження доступу лише до частин коду, команді вдалося виявити суттєві вразливості та запропонувати ефективні покращення.

    White-box
    White-box
    Тестування здійснювалося з повним доступом до вихідного коду, що дозволило змоделювати реальні сценарії атак і отримати об'єктивну картину безпеки продукту.
    Основні етапи роботи та рішення

    Під час проєкту Datami проаналізувала надані фрагменти вихідного коду HIDEEZ, зосередившись на шифруванні та автентифікації. Перевірка логіки авторизації та реалізації криптографії дозволила виявити критичні зони ризику.

    Через обмежений доступ команда підготувала симуляційне оточення та адаптувала процес перевірки без повного розгортання продукту.

    • Підготовка
      Вивчення вихідного коду, уточнення технічних деталей, створення симуляційного середовища, планування сценаріїв тестування з фокусом на криптографію та автентифікацію через ризики AES-256.
    • Тестування
      White-box пентест з використанням Graudit, Burp Suite, власних скриптів, SAST-аналізу, декомпіляції та ручного моделювання атак для виявлення слабких місць у шифруванні й логіці авторизації.
    • Аналіз і звіт
      Детальний звіт з описом виявлених вразливостей, оцінкою ризиків і рекомендаціями для зміцнення безпеки.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    До початку проєкту рівень безпеки продукту HIDEEZ був оцінений як високий ризик через недостатню перевірку власних реалізацій шифрування та автентифікації.

    Під час white-box пентесту команда Datami виявила 6 вразливостей: 1 критичну (у шифруванні даних), 2 середні (у логіці автентифікації) та 3 низькі (наприклад, hardcoded значення у коді).

    1. оновлення криптографічної бібліотеки та покращення реалізації AES-256;
    2. перевірка безпечності викликів API та усунення потенційних уразливостей;
    3. регулярні перевірки коду і впровадження SAST у CI/CD-процеси.

    Після впровадження рекомендацій рівень ризику був знижений із високого до низького. Успішна оптимізація безпеки допомогла уникнути потенційного витоку даних і репутаційних втрат.

    Проєкт реалізовано за 3 тижні замість типових 4–5. Критичну вразливість клієнт усунув менше, ніж за 48 годин.

    Наші сертифікати
    Ключові висновки проєкту

    Завдяки Datami компанія HIDEEZ за 3 тижні отримала цільову перевірку безпеки своїх криптографічних механізмів та систем автентифікації.

    Під час проєкту перевірено захищеність наданого коду перед релізом та виявлено 6 вразливостей. Впроваджені рекомендації знизили рівень ризику з високого до низького. Усі завдання були виконані вчасно.

    Кейс підтверджує, що навіть компанії з кіберзахисту потребують незалежного аудиту.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через необстежені модулі шифрування
    Рівень ризику знижено до низького після впровадження змін
    Критичні вразливості
    Можливість зламу через прогнозовані ключі шифрування
    1 критична вразливість виправлена за 48 годин
    Компрометація акаунтів
    Потенційний ризик через логіку автентифікації
    Знижено після оновлення алгоритмів і перевірок
    Відповідність безпеці
    Часткова відповідність безпеці OWASP
    Впроваджено практики OWASP ASVS, посилено контроль доступу
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Перевірка безпеки медичної платформи DonorUA

    Перевірка безпеки медичної платформи DonorUA

    • Надано звіт з рекомендаціями для зміцнення захисту.
    • Підтверджено відсутність критичних загроз для безпеки.
    Послуги:
    Пентест вебдодатків (Black-box)
    Лист. 18, 2025
    Протокол безпеки для компанії INOI

    Протокол безпеки для компанії INOI

    • Розроблено персоналізований протокол безпеки
    • Підвищено готовність компанії до кризових ситуацій
    Послуги:
    Розробка Security Protocol – консалтинг кібербезпеки
    Лист. 7, 2025
    Перевірка кібербезпеки платформи опитувань

    Перевірка кібербезпеки платформи опитувань

    • Перевірено три сценарії онлайн-опитувань
    • Покращено загальний рівень кібербезпеки
    Послуги:
    Лист. 5, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Програма-вимагач KillSec атакує охорону здоров'я Datami Newsroom
    Datami Newsroom

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Datami на MERGE Madrid та EBC 25 Datami Newsroom
    Datami Newsroom

    Datami на MERGE Madrid та EBC 25

    Команда Datami побувала на MERGE Madrid та European Blockchain Convention 2025, щоб поділитися досвідом і побачити, як змінюється Web3. Цього року більше говорили про реальні рішення – безпеку, аудит і прозорі стандарти, які формують новий ритм індустрії.

    Лист. 13, 2025 3 хв.
    Типи кібератак Олександр Філіпов
    Олександр Філіпов

    Типи кібератак

    Щоб ефективно захистити дані та системи, важливо розуміти, які існують типи кібератак і як вони працюють. У цій статті розглянемо основні види атак та з’ясуємо, як уберегти від них свій бізнес.

    Лист. 6, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie