+380996133328 [email protected]
ua
ua

UNIQA: Оцінка безпеки iOS-додатка

Клієнт:
Uniqa Insurance — велика міжнародна страхова компанія з головним офісом у Відні
Галузь:
Страхування
Фокус:
Захист персональних та фінансових даних у мобільному застосунку
Основний виклик:
Перевірка безпеки iOS-додатка з метою запобігання витоку даних і несанкціонованого доступу
Ринок:
Центральна та Східна Європа
Надані послуги:
Пентест iOS-додатка, аналіз автентифікації, API, інтеграції
Ключові висновки
  • Покращено відповідність GDPR та обробку даних
  • Посилено безпеку API та автентифікацію
  • Виявлено 19 вразливостей, включно з однією критичною
  • Проведено Gray-box тестування на проникнення iOS-додатку
  • Надано звіт із чіткими рекомендаціями щодо зниження ризиків
    • 19
    вразливостей виявлено
    GDPR
    вимоги враховано
    100 %
    виконано вчасно
    UNIQA: Оцінка безпеки iOS-додатка
    Груд. 20, 2024
    14 хв
    UNIQA Insurance замовила перевірку безпеки свого iOS-додатка, щоб запобігти витоку персональних і фінансових даних. Під час Gray-box пентесту команда Datami виявила 19 вразливостей і надала рекомендації, які допомогли знизити ризики та підвищити відповідність GDPR.

    Uniqa Insurance – міжнародна страхова корпорація з головним офісом у Відні, яка працює на ринку Центральної та Східної Європи. Компанія активно використовує мобільні додатки, вебсайт, клієнтський портал і онлайн-сервіси, які щодня обслуговують десятки тисяч клієнтів. 

    Для UNIQA критично важливим є захист від витоку інформації, несанкціонованого доступу й зламу мобільного додатка.

    Завдання та виклики
    UNIQA Insurance працює у фінансовій сфері з підвищеними ризиками, обробляє персональні та фінансові дані клієнтів і дотримується стандартів ISO 27001 та GDPR. 
    Через ризики витоку даних і зламу застосунку компанія ініціювала планову перевірку безпеки iOS-додатка — ключового каналу взаємодії з клієнтами.
    Завдання для команди:
     
    • Провести пентест iOS-додатка, включаючи API та серверні компоненти.
    • Проаналізувати автентифікацію, мережевий трафік, інтеграції з іншими сервісами.
    • Виявити всі уразливості та підготувати детальний звіт із рекомендаціями.
    • Врахувати вимоги GDPR та стандартів безпеки фінансової галузі.
    icon
    Провести пентест
    Тест на проникнення iOS-додатка для пошуку вразливостей
    icon
    Перевірити кіберзахист
    Проаналізувати ризики витоку даних та зламу акаунтів
    icon
    Підготувати звіт
    Описати проблеми та ризики, надати рекомендації
    Методологія Datami для перевірки безпеки Uniqa Insurance

    Наш підхід

    У межах проєкту ми комплексно перевірили iOS-додаток UNIQA разом з API-запитами, автентифікацією, мережевим трафіком та сторонніми інтеграціями. 

    Основним методом став пентест із використанням Gray-box підходу. 

    Ми поєднали автоматизоване сканування (Burp Suite, OWASP Mobile Testing Guide) із ручним тестуванням та власними скриптами для аналізу критичних зон. 

    Такий підхід дозволив виявити 19 вразливостей, включно з однією критичною, і підготувати детальні технічні рекомендації для їх усунення.

     

    Gray-box

    Gray-box

    Команда мала обмежений доступ до технічної інформації. Це дозволило змоделювати реальні сценарії атак з позиції частково обізнаного зловмисника та досягти балансу між глибиною та реалістичністю.
    Основні етапи роботи та рішення

    Під час проєкту команда виявила сторонні інтеграції, не зазначені клієнтом, і оперативно їх перевірила. Це дозволило охопити всі критично важливі компоненти системи. 

    Проєкт був виконаний у повному обсязі та вчасно. Комунікація з командою UNIQA проходила через обмін повідомленнями, а регулярне інформування про хід робіт забезпечило прозорість та швидке реагування.

    Робота відбувалась поетапно:

    • Підготовка
      — планування, уточнення технічних деталей і аналіз архітектури додатка для визначення зон ризику.
    • Pentest iOS-додатка з gray-box підходом
      — перевірка API, автентифікації, трафіку та інтеграцій із застосуванням автоматизованих та ручних методів.
    • Аналіз і звіт
      — складання детального звіту про виконану роботу та надання рекомендацій для усунення вразливостей і підвищення рівня захисту.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    На початку проєкту рівень захисту мобільного додатка UNIQA оцінювався як помірно ризикований: одна висока та низки конфігураційних проблем створювали потенційні ризики для персональних і фінансових даних. Під час пентесту команда Datami виявила 19 вразливостей, включаючи критичну.

    Після впровадження рекомендацій система стала значно стійкішою до атак: ризик несанкціонованого доступу значно знижено, ймовірність витоку даних мінімізовано, а відповідність вимогам GDPR і фінансових стандартів — підвищено.

    Клієнт отримав чіткі рекомендації для подальшого зміцнення кіберзахисту:

    1. усунення вразливостей;
    2. перегляд автентифікації;
    3. перевірка всіх сторонніх інтеграцій.

    UNIQA отримала не лише розуміння технічних ризиків і практичні кроки для їх усунення, а й знизила потенційні фінансові та репутаційні втрати. Всі цілі були проєкту досягнуті.

    ПІДТВЕРДЖЕНА ЕКСПЕРТНІСТЬ КОМАНДИ DATAMI

    Наші сертифікати

    Datami – компанія з кібербезпеки, кваліфікація якої підтверджена 26 сертифікаціями та міжнародними стандартами. Це дозволяє нам виконувати завдання різної складності, дотримуючись вимог до безпеки, конфіденційності та етичних практик.
    Ключові висновки проєкту

    Завдяки співпраці з Datami UNIQA Insurance отримала повну картину ризиків iOS-додатка (виявлено 19 вразливостей, включаючи критичну) і чіткі рекомендації щодо їх усунення. Система стала стійкішою до атак, а відповідність GDPR помітно зросла.

    Кейс доводить: навіть масштабні компанії, які працюють з чутливими даними, потребують регулярного пентесту — основи цифрової безпеки для уникнення фінансових, юридичних та репутаційних ризиків.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Помірний ризик
    Рівень ризику знижено, виявлено 19 вразливостей, критичну усунено
    Критичні вразливості
    Потенційно можливі
    Виявлено 1, усунено
    Компрометація акаунтів
    Можлива через уразливість авторизації
    Ризик знижено після виправлень
    Сторонні інтеграції
    Не всі були задокументовані
    Виявлено та протестовано
    Відповідність безпеці
    Часткова відповідність
    Покращено відповідність фінансовим стандартам
    Строки
    Залежали від внутрішніх дедлайнів клієнта
    Проєкт завершено вчасно
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит безпеки GCP для підготовки до PCI DSS
    Аудит безпеки GCP для підготовки до PCI DSS
    • Забезпечено відповідність вимогам стандарту PCI DSS.
    • Ризик несанкціонованого доступу зменшено на 90%.
    Послуги:
     
    Квіт. 25, 2026
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami) Олександр Філіпов
    Олександр Філіпов
    Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami)

    А ви знаєте, в якій галузі найбільше критичних ризиків у кібербезпеці? Ми проаналізували результати проєктів Datami і визначили три індустрії, де в середньому на один проєкт виявили найбільше критичних вразливостей.

    Бер. 31, 2026 15 хв.
    Топ-4 найвразливіших галузей за версією Datami Олександр Філіпов
    Олександр Філіпов
    Топ-4 найвразливіших галузей за версією Datami

    Чи залежить рівень кіберризиків від галузі? Datami проаналізувала зв’язок між кількістю вразливостей і сферою діяльності компаній та визначила топ галузей із найбільшою концентрацією слабких місць.

    Бер. 27, 2026 10 хв.
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов
    Олександр Філіпов
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Показати всі статті
    Замовте консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie