+380996133328 [email protected]
ua
ua

Перевірка безпеки медичної платформи DonorUA

Клієнт:
DonorUA – всеукраїнська ініціатива та ІТ-платформа для розвитку донорства крові.
Галузь:
Охорона здоров’я та медицина
Фокус:
Перевірка безпеки вебдодатків, захист персональних і медичних даних
Основний виклик:
Пошук вразливостей у вебсервісах, які обробляють персональні та медичні дані
Ринок:
Україна
Надані послуги:
Пентест вебдодатків (Black-box)
Ключові висновки
  • Надано звіт з рекомендаціями для зміцнення захисту.
  • Підтверджено відсутність критичних загроз для безпеки.
  • Проведено Black-box пентест двох вебзастосунків.
  • Виявлено 13 вразливостей: 2 середні, 9 низьких і 2 інформаційні.
  • Застосовано комбінацію автоматизованого та ручного тестування.
    • 13
    вразливостей знайдено
    2
    вебдодатки перевірено
    2 тижні
    тривалість проєкту
    Перевірка безпеки медичної платформи DonorUA
    Лист. 18, 2025
    15 хв.
    Розробка з дотриманням безпекових практик – ще не гарантія повного захисту. DonorUA звернулися до Datami для перевірки вебдодатків. Автоматизований пентест виявив низку вразливостей, серед яких brute-force атака на сторінку входу та вразливі бібліотеки. Datami додатково провела ручну точкову перевірку вразливого функціоналу.

    DonorUA – всеукраїнська ініціатива у сфері донорства крові. Організація використовує власну ІТ-платформу для пошуку донорів, підтримки лікарень і забезпечення пацієнтів.

    Сервіси клієнта обробляють персональні та медичні дані, тому для DonorUA кібербезпека є критичною – будь-яка вразливість може вплинути на стабільність роботи вебресурсів і довіру користувачів.

    Завдання та виклики
    Попри дотримання безпекових практик під час розробки, DonorUA хотіла перевірити свої вебдодатки на наявність потенційних вразливостей, щоб забезпечити надійний захист чутливих даних користувачів.

    Організація звернулась до Datami та замовила автоматизоване тестування на проникнення двох сайтів.
     
    • Провести автоматизований пентест публічного сайту та користувацького кабінету DonorUA
    • Перевірити безпеку вебресурсів на наявність вразливостей для завчасного їх виправлення
    • Надати детальний технічний звіт з описом знайдених загроз і рекомендаціями щодо їх усунення
    icon
    Тест на проникнення
    Black-box тестування двох вебдодатків DonorUA з використанням спеціалізованих інструментів
    icon
    Оцінка вразливостей
    Аналіз функціоналу, який може містити вразливості та бути схильним до кібератак зловмисників
    icon
    Звіт і рекомендації
    Підготовка звіту з результатами перевірки безпеки та пропозиціями для покращення захисту
    Методологія Datami для перевірки вебдодатків

    Наш підхід

    Для проєкту DonorUA команда Datami застосувала Black-box стратегію та автоматизовані методи пентесту вебдодатків. Ми використали декілька основних інструментів, зокрема Burp Suite, OWASP ZAP, Nessus, Nuclei та Wapiti. 

    Після сканування сайтів було вирішено додатково протестувати вручну потенційно вразливий функціонал. Це дозволило максимально охопити периметр та детально перевірити окремі схильні до атак місця.

    Black-box

    Black-box

    Стратегія пентесту без доступу до внутрішнього коду – максимально наближена до дій реального зловмисника
    Етапи роботи над проєктом

    Спочатку Datami узгодила із замовником важливі аспекти перевірки безпеки: периметр, глибину, дозволи та терміни. 

    Далі ми провели автоматизований пентест вебдодатків. У команди залишився час, і наші фахівці додатково виконали ручний аналіз найвразливіших точок.

    На завершальному етапі проаналізували отримані результати та сформували технічний звіт.

    • Підготовка
      Узгодження особливостей та важливих моментів проєкту. Підбір стратегії, методів та інструментів перевірки безпеки.
    • Тестування
      Автоматизований Black-box пентест вебсайтів та ручна перевірка найбільш ризикованих місць.
    • Аналіз і звіт
      Формування підсумкового звіту з описом знайдених вразливостей та рекомендаціями щодо їх усунення.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    За підсумками тестування публічного сайту та особистого кабінету DonorUA команда Datami виявила 13 некритичних вразливостей: 

    • 2 середні,
    • 9 низьких,
    • 2 інформаційні.

    Серед знайдених проблем були такі, що стосувалися технічних аспектів (наприклад, brute-force на сторінці входу). Також було зафіксовано використання застарілих JavaScript-бібліотек та слабкий контроль завантажень файлів.

    На основі аналізу було сформовано технічний звіт та надано рекомендації для покращення безпеки, зокрема:

    • впровадити rate-ліміти для запобігання автоматизованим атакам;
    • регулярно оновлювати використовувані бібліотеки до актуальних версій;
    • оптимізувати механізми роботи з файлами: обмежити типи дозволених до завантаження.

    Таким чином DonorUA отримала бачення слабких місць вебдодатків та план дій для їхнього усунення.

    Наші сертифікати

    Підсумок проєкту

    Проєкт було завершено за два тижні, як і планувалося. При цьому було проведено глибшу перевірку, ніж передбачалося спочатку. Datami підтвердила відсутність критичних ризиків і стабільний рівень безпеки вебдодатків DonorUA. 

    Проте цей кейс продемонстрував, що навіть за дотримання безпекових практик під час розробки сервіси можуть мати вразливі місця, і регулярний аудит безпеки для медичних платформ залишається надзвичайно важливим.

    Рівень ризиків
    Невідомий
    Виявлено 13 некритичних вразливостей
    Критичні вразливості
    Невідомо
    Не виявлено
    Терміни
    План – 2 тижні
    Завершено вчасно, з додатковим ручним аналізом
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie