+380996133328 [email protected]
ua
ua

Перевірка безпеки медичної платформи DonorUA

Клієнт:
DonorUA – всеукраїнська ініціатива та ІТ-платформа для розвитку донорства крові.
Галузь:
Охорона здоров’я та медицина
Фокус:
Перевірка безпеки вебдодатків, захист персональних і медичних даних
Основний виклик:
Пошук вразливостей у вебсервісах, які обробляють персональні та медичні дані
Ринок:
Україна
Надані послуги:
Пентест вебдодатків (Black-box)
Ключові висновки
  • Надано звіт з рекомендаціями для зміцнення захисту.
  • Підтверджено відсутність критичних загроз для безпеки.
  • Проведено Black-box пентест двох вебзастосунків.
  • Виявлено 13 вразливостей: 2 середні, 9 низьких і 2 інформаційні.
  • Застосовано комбінацію автоматизованого та ручного тестування.
    • 13
    вразливостей знайдено
    2
    вебдодатки перевірено
    2 тижні
    тривалість проєкту
    Перевірка безпеки медичної платформи DonorUA
    Лист. 18, 2025
    15 хв.
    Розробка з дотриманням безпекових практик – ще не гарантія повного захисту. DonorUA звернулися до Datami для перевірки вебдодатків. Автоматизований пентест виявив низку вразливостей, серед яких brute-force атака на сторінку входу та вразливі бібліотеки. Datami додатково провела ручну точкову перевірку вразливого функціоналу.

    DonorUA – всеукраїнська ініціатива у сфері донорства крові. Організація використовує власну ІТ-платформу для пошуку донорів, підтримки лікарень і забезпечення пацієнтів.

    Сервіси клієнта обробляють персональні та медичні дані, тому для DonorUA кібербезпека є критичною – будь-яка вразливість може вплинути на стабільність роботи вебресурсів і довіру користувачів.

    Завдання та виклики
    Попри дотримання безпекових практик під час розробки, DonorUA хотіла перевірити свої вебдодатки на наявність потенційних вразливостей, щоб забезпечити надійний захист чутливих даних користувачів.

    Організація звернулась до Datami та замовила автоматизоване тестування на проникнення двох сайтів.
     
    • Провести автоматизований пентест публічного сайту та користувацького кабінету DonorUA
    • Перевірити безпеку вебресурсів на наявність вразливостей для завчасного їх виправлення
    • Надати детальний технічний звіт з описом знайдених загроз і рекомендаціями щодо їх усунення
    icon
    Тест на проникнення
    Black-box тестування двох вебдодатків DonorUA з використанням спеціалізованих інструментів
    icon
    Оцінка вразливостей
    Аналіз функціоналу, який може містити вразливості та бути схильним до кібератак зловмисників
    icon
    Звіт і рекомендації
    Підготовка звіту з результатами перевірки безпеки та пропозиціями для покращення захисту
    Методологія Datami для перевірки вебдодатків
    Наш підхід

    Для проєкту DonorUA команда Datami застосувала Black-box стратегію та автоматизовані методи пентесту вебдодатків. Ми використали декілька основних інструментів, зокрема Burp Suite, OWASP ZAP, Nessus, Nuclei та Wapiti. 

    Після сканування сайтів було вирішено додатково протестувати вручну потенційно вразливий функціонал. Це дозволило максимально охопити периметр та детально перевірити окремі схильні до атак місця.

    Black-box
    Black-box
    Стратегія пентесту без доступу до внутрішнього коду – максимально наближена до дій реального зловмисника
    Етапи роботи над проєктом

    Спочатку Datami узгодила із замовником важливі аспекти перевірки безпеки: периметр, глибину, дозволи та терміни. 

    Далі ми провели автоматизований пентест вебдодатків. У команди залишився час, і наші фахівці додатково виконали ручний аналіз найвразливіших точок.

    На завершальному етапі проаналізували отримані результати та сформували технічний звіт.

    • Підготовка
      Узгодження особливостей та важливих моментів проєкту. Підбір стратегії, методів та інструментів перевірки безпеки.
    • Тестування
      Автоматизований Black-box пентест вебсайтів та ручна перевірка найбільш ризикованих місць.
    • Аналіз і звіт
      Формування підсумкового звіту з описом знайдених вразливостей та рекомендаціями щодо їх усунення.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Результати та рекомендації

    За підсумками тестування публічного сайту та особистого кабінету DonorUA команда Datami виявила 13 некритичних вразливостей: 

    • 2 середні,
    • 9 низьких,
    • 2 інформаційні.

    Серед знайдених проблем були такі, що стосувалися технічних аспектів (наприклад, brute-force на сторінці входу). Також було зафіксовано використання застарілих JavaScript-бібліотек та слабкий контроль завантажень файлів.

    На основі аналізу було сформовано технічний звіт та надано рекомендації для покращення безпеки, зокрема:

    • впровадити rate-ліміти для запобігання автоматизованим атакам;
    • регулярно оновлювати використовувані бібліотеки до актуальних версій;
    • оптимізувати механізми роботи з файлами: обмежити типи дозволених до завантаження.

    Таким чином DonorUA отримала бачення слабких місць вебдодатків та план дій для їхнього усунення.

    Наші сертифікати
    Підсумок проєкту

    Проєкт було завершено за два тижні, як і планувалося. При цьому було проведено глибшу перевірку, ніж передбачалося спочатку. Datami підтвердила відсутність критичних ризиків і стабільний рівень безпеки вебдодатків DonorUA. 

    Проте цей кейс продемонстрував, що навіть за дотримання безпекових практик під час розробки сервіси можуть мати вразливі місця, і регулярний аудит безпеки для медичних платформ залишається надзвичайно важливим.

    Рівень ризиків
    Невідомий
    Виявлено 13 некритичних вразливостей
    Критичні вразливості
    Невідомо
    Не виявлено
    Терміни
    План – 2 тижні
    Завершено вчасно, з додатковим ручним аналізом
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аутстаф-аудит безпеки мобільного додатку

    Аутстаф-аудит безпеки мобільного додатку

    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Аудит політик безпеки для фінтех-компанії

    Аудит політик безпеки для фінтех-компанії

    • Перевірено та оцінено 7 ключових політик кібербезпеки
    • Узгоджено регламенти з ISO 27001, DORA, GDPR та NBG
    Послуги:
    аудит політик безпеки та відповідності
    Лист. 20, 2025
    Протокол безпеки для компанії INOI

    Протокол безпеки для компанії INOI

    • Розроблено персоналізований протокол безпеки
    • Підвищено готовність компанії до кризових ситуацій
    Послуги:
    Розробка Security Protocol – консалтинг кібербезпеки
    Лист. 7, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов
    Олександр Філіпов

    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Сучасні фішингові кампанії використовують PDF-файли для атак Datami Newsroom
    Datami Newsroom

    Сучасні фішингові кампанії використовують PDF-файли для атак

    Фішингові кампанії нового покоління активно маскуються під відомі бренди, використовують легітимні функції Microsoft 365 і навіть вводять користувачів в оману за допомогою штучного інтелекту. У 2025 році компанії стикаються з хвилею витончених атак, які змінюють звичні правила гри в кібербезпеці.

    Лист. 24, 2025 3 хв.
    Програма-вимагач KillSec атакує охорону здоров'я Datami Newsroom
    Datami Newsroom

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie