+380996133328 [email protected]
ua
ua

Аудит безпеки банківських цифрових каналів

Клієнт:
Велика фінансова установа, що обслуговує понад 500 000 клієнтів
Галузь:
Фінанси
Фокус:
Захист персональних, фінансових та корпоративних даних у мобільних застосунках, вебпорталах та внутрішній інфраструктурі
Основний виклик:
Перевірка стійкості цифрових сервісів до атак, захист чутливих даних, відповідність міжнародним стандартам безпеки
Ринок:
Грузія
Надані послуги:
Перевірка безпеки коду, Black-box і Gray-box пентест
Ключові висновки
  • Посилили захист веб-, мобільних додатків та API
  • Запобігли потенційній DoS-атаці та виявили 106 проблем
  • Проведели Pentest і Code Review цифрових сервісів
  • Надали детальний звіт і практичні рекомендації для підвищення безпеки та відповідності стандартам PCI DSS та ISO/IEC 27001.
    • 48
    годин від виявлення до виправлення
    7
    критичних вразливостей виявлено
    1
    DoS-атаку випереджено та заблоковано
    Аудит безпеки банківських цифрових каналів
    Січ. 31, 2025
    14 хв
    Наскільки стійкі банківські сервіси до сучасних атак? Аби це з'ясувати, велика фінансова установа звернулася до Datami для проведення комплексного пентесту та перевірки коду. У результаті виявлено 106 вразливостей і заблоковано потенційну DoS-атаку на кол-центр.

    Велика фінансова установа з Грузії обслуговує понад 500 000 клієнтів через мобільні застосунки, вебпортали та API. Компанія обробляє чутливі дані та працює у регульованій галузі, де діють вимоги стандартів PCI DSS і ISO/IEC 27001.

    Захист інформації критично важливий для запобігання витокам, фінансовому шахрайству й несанкціонованому доступу, а регулярні перевірки безпеки дозволяють підвищувати кіберстійкість.

     

    Завдання та виклики
    Банківська установа ініціювала планову перевірку безпеки, щоб оцінити стійкість цифрових сервісів до атак і врахувати вимоги регульованої галузі, зокрема PCI DSS і ISO/IEC 27001.

    Метою проєкту стало виявлення вразливостей, оцінка ризиків кіберзагроз, посилення захисту персональних, фінансових і корпоративних даних.
     
    • Провести black-box і grey-box пентести клієнтських вебпорталів, мобільних застосунків, API, POS-термінала та частини внутрішньої ІТ-інфраструктури.
    • Виконати Code Review критичних компонентів для перевірки логіки, автентифікації та взаємодії між модулями.
    • Оцінити конфігурації, виявити вразливості, визначити рівень ризику, надати рекомендації та перевірити відповідність стандартам.
    icon
    Пентест і перевірка коду
    Вебпортали, мобільні застосунки, API, POS і внутрішня мережа
    icon
    Аналіз ризиків
    Оцінка ризиків, логічних помилок і слабких місць у конфігураціях
    icon
    Звіт і рекомендації
    Опис вразливостей, рівень ризику та кроки для усунення
    Методологія Datami: перевірка цифрової безпеки фінансової установи
    Наш підхід

    Перед тестуванням ми проаналізували технічну документацію клієнта для точного моделювання загроз. 

    Команда провела black-box і grey-box пентест ключових цифрових сервісів банку та перевірку безпеки коду окремих компонентів. Datami протестувала вебпортали, мобільні застосунки, API, внутрішню інфраструктуру та POS-термінали.

    Ми поєднали автоматизовані сканери та ручне тестування, застосували OWASP Top 10, MITM-аналіз, fuzzing і кастомні скрипти. Перевірили конфігурації, авторизацію та взаємодію компонентів в умовах часткового доступу до інфраструктури клієнта — змоделювали найбільш ймовірні вектори атак у реальному середовищі.

     

    Black-box
    Black-box
    Зовнішнє тестування без доступу до внутрішньої інформації — змоделювали атаки з боку сторонніх осіб або хакерів без прав доступу.
    Gray-box
    Gray-box
    Частковий доступ дозволив дослідити внутрішню логіку систем, знайти вразливості в API, мобільних застосунках і налаштуваннях сервісів.
    Основні етапи роботи та рішення

    В процесі Datami адаптувала план робіт під специфіку інфраструктури, затримки з доступами та додаткові об’єкти, які з’являлись після старту. Команда змінювала IP-адреси під час сканування, щоб уникнути блокувань. Було погоджено тимчасове розширення прав і створено тунелі через обмежені зони для охоплення частини ізольованих систем.

    • Підготовка:
      Збір технічної інформації та аналіз документації, погодження об’єктів тестування, формування плану з урахуванням специфіки регульованої галузі.
    • Тестування:
      Пентест (black-box і grey-box) цифрових сервісів — мобільних додатків, API, вебпорталів, POS та частини внутрішньої мережі. Перевірка безпеки коду для оцінки логіки, авторизації та взаємодії між модулями.
    • Аналіз і звіт:
      Оцінка ризиків, пріоритезація проблем, підготовка звіту з чіткими рекомендаціями щодо усунення вразливостей і підвищення рівня безпеки.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    До проєкту клієнт мав доволі захищену систему, проте тестування виявило низку критичних і високих ризиків, зокрема — відсутність CAPTCHA і захисту від DoS-атак, слабкий контроль подій безпеки та вразливі точки доступу через API.

    Команда Datami виявила 106 вразливостей: 7 критичних, 15 високих, 44 середніх, 36 низьких і 4 інформаційних. Зокрема виявлено та заблоковано можливість DoS-атаки на кол-центр через масове створення запитів на зворотний дзвінок. 

    Клієнт оперативно реалізував перші заходи: частину проблем усунуто протягом 48 годин.

    1. впровадити CAPTCHA та rate limiting на критичні елементи інтерфейсу;
    2. покращити логування та моніторинг безпеки;
    3. переглянути політики доступу для API;
    4. регулярно оновлювати систему захисту відповідно до PCI DSS та ISO/IEC 27001.

    регулярно оновлювати систему захисту відповідно до PCI DSS та ISO/IEC 27001.

    Через масштабність і специфіку інфраструктури проєкт тривав 5 місяців, включно з додатковими об’єктами, що з’явилися під час роботи.

    Наші сертифікати
    Ключові висновки проєкту

    Проєкт допоміг банківській установі вчасно виявити критичні вразливості, уникнути DoS-атаки на кол-центр і зміцнити захист клієнтських сервісів.

    Клієнт отримав глибоку оцінку безпеки та практичні рекомендації Datami щодо усунення вразливостей та посилення кібербезпеки.

    Кейс проєкту підтверджує: навіть захищені фінансові компанії потребують регулярного пентесту та перевірки коду для зниження ризиків і дотримання вимог.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Часткове покриття безпеки, без глибокого аналізу
    Виявлено 106 вразливостей, складено план усунення
    Критичні вразливості
    Потенційний DoS, ризики через API та форму зворотного зв’язку
    7 критичних загроз, частина усунена за 48 годин
    Компрометація акаунтів
    Ризик виведення з ладу кол-центру, витоку даних через слабке обмеження трафіку
    Запроваджено rate limiting, надано рекомендації з моніторингу та логування
    Відповідність безпеці
    Часткова відповідність стандартам PCI DSS та ISO/IEC 27001
    Надано технічний звіт і план дій для повної відповідності
    Строки
    План — 5 місяців
    Задачі виконано у заплановані строки, хоча обсяг робіт у процесі виріс
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аутстаф-аудит безпеки мобільного додатку

    Аутстаф-аудит безпеки мобільного додатку

    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Аудит політик безпеки для фінтех-компанії

    Аудит політик безпеки для фінтех-компанії

    • Перевірено та оцінено 7 ключових політик кібербезпеки
    • Узгоджено регламенти з ISO 27001, DORA, GDPR та NBG
    Послуги:
    аудит політик безпеки та відповідності
    Лист. 20, 2025
    Перевірка безпеки медичної платформи DonorUA

    Перевірка безпеки медичної платформи DonorUA

    • Надано звіт з рекомендаціями для зміцнення захисту.
    • Підтверджено відсутність критичних загроз для безпеки.
    Послуги:
    Пентест вебдодатків (Black-box)
    Лист. 18, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор з кібербезпеки
    Олександр Філіпов – автор з кібербезпеки

    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Сучасні фішингові кампанії використовують PDF-файли для атак Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami

    Сучасні фішингові кампанії використовують PDF-файли для атак

    Фішингові кампанії нового покоління активно маскуються під відомі бренди, використовують легітимні функції Microsoft 365 і навіть вводять користувачів в оману за допомогою штучного інтелекту. У 2025 році компанії стикаються з хвилею витончених атак, які змінюють звичні правила гри в кібербезпеці.

    Лист. 24, 2025 3 хв.
    Програма-вимагач KillSec атакує охорону здоров'я Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie