+380996133328 [email protected]
ua
ua

UNIQA: Оцінка безпеки iOS-додатка

Клієнт:
Uniqa Insurance — велика міжнародна страхова компанія з головним офісом у Відні
Галузь:
Страхування
Фокус:
Захист персональних та фінансових даних у мобільному застосунку
Основний виклик:
Перевірка безпеки iOS-додатка з метою запобігання витоку даних і несанкціонованого доступу
Ринок:
Центральна та Східна Європа
Надані послуги:
Пентест iOS-додатка, аналіз автентифікації, API, інтеграції
Ключові висновки
  • Покращено відповідність GDPR та обробку даних
  • Посилено безпеку API та автентифікацію
  • Виявлено 19 вразливостей, включно з однією критичною
  • Проведено Gray-box тестування на проникнення iOS-додатку
  • Надано звіт із чіткими рекомендаціями щодо зниження ризиків
    • 19
    вразливостей виявлено
    GDPR
    вимоги враховано
    100 %
    виконано вчасно
    UNIQA: Оцінка безпеки iOS-додатка
    Груд. 20, 2024
    14 хв
    UNIQA Insurance замовила перевірку безпеки свого iOS-додатка, щоб запобігти витоку персональних і фінансових даних. Під час Gray-box пентесту команда Datami виявила 19 вразливостей і надала рекомендації, які допомогли знизити ризики та підвищити відповідність GDPR.

    Uniqa Insurance – міжнародна страхова корпорація з головним офісом у Відні, яка працює на ринку Центральної та Східної Європи. Компанія активно використовує мобільні додатки, вебсайт, клієнтський портал і онлайн-сервіси, які щодня обслуговують десятки тисяч клієнтів. 

    Для UNIQA критично важливим є захист від витоку інформації, несанкціонованого доступу й зламу мобільного додатка.

    Завдання та виклики
    UNIQA Insurance працює у фінансовій сфері з підвищеними ризиками, обробляє персональні та фінансові дані клієнтів і дотримується стандартів ISO 27001 та GDPR. 
    Через ризики витоку даних і зламу застосунку компанія ініціювала планову перевірку безпеки iOS-додатка — ключового каналу взаємодії з клієнтами.
    Завдання для команди:
     
    • Провести пентест iOS-додатка, включаючи API та серверні компоненти.
    • Проаналізувати автентифікацію, мережевий трафік, інтеграції з іншими сервісами.
    • Виявити всі уразливості та підготувати детальний звіт із рекомендаціями.
    • Врахувати вимоги GDPR та стандартів безпеки фінансової галузі.
    icon
    Провести пентест
    Тест на проникнення iOS-додатка для пошуку вразливостей
    icon
    Перевірити кіберзахист
    Проаналізувати ризики витоку даних та зламу акаунтів
    icon
    Підготувати звіт
    Описати проблеми та ризики, надати рекомендації
    Методологія Datami для перевірки безпеки Uniqa Insurance
    Наш підхід

    У межах проєкту ми комплексно перевірили iOS-додаток UNIQA разом з API-запитами, автентифікацією, мережевим трафіком та сторонніми інтеграціями. 

    Основним методом став пентест із використанням Gray-box підходу. 

    Ми поєднали автоматизоване сканування (Burp Suite, OWASP Mobile Testing Guide) із ручним тестуванням та власними скриптами для аналізу критичних зон. 

    Такий підхід дозволив виявити 19 вразливостей, включно з однією критичною, і підготувати детальні технічні рекомендації для їх усунення.

     

    Gray-box
    Gray-box
    Команда мала обмежений доступ до технічної інформації. Це дозволило змоделювати реальні сценарії атак з позиції частково обізнаного зловмисника та досягти балансу між глибиною та реалістичністю.
    Основні етапи роботи та рішення

    Під час проєкту команда виявила сторонні інтеграції, не зазначені клієнтом, і оперативно їх перевірила. Це дозволило охопити всі критично важливі компоненти системи. 

    Проєкт був виконаний у повному обсязі та вчасно. Комунікація з командою UNIQA проходила через обмін повідомленнями, а регулярне інформування про хід робіт забезпечило прозорість та швидке реагування.

    Робота відбувалась поетапно:

    • Підготовка
      — планування, уточнення технічних деталей і аналіз архітектури додатка для визначення зон ризику.
    • Pentest iOS-додатка з gray-box підходом
      — перевірка API, автентифікації, трафіку та інтеграцій із застосуванням автоматизованих та ручних методів.
    • Аналіз і звіт
      — складання детального звіту про виконану роботу та надання рекомендацій для усунення вразливостей і підвищення рівня захисту.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Результати та рекомендації

    На початку проєкту рівень захисту мобільного додатка UNIQA оцінювався як помірно ризикований: одна висока та низки конфігураційних проблем створювали потенційні ризики для персональних і фінансових даних. Під час пентесту команда Datami виявила 19 вразливостей, включаючи критичну.

    Після впровадження рекомендацій система стала значно стійкішою до атак: ризик несанкціонованого доступу значно знижено, ймовірність витоку даних мінімізовано, а відповідність вимогам GDPR і фінансових стандартів — підвищено.

    Клієнт отримав чіткі рекомендації для подальшого зміцнення кіберзахисту:

    1. усунення вразливостей;
    2. перегляд автентифікації;
    3. перевірка всіх сторонніх інтеграцій.

    UNIQA отримала не лише розуміння технічних ризиків і практичні кроки для їх усунення, а й знизила потенційні фінансові та репутаційні втрати. Всі цілі були проєкту досягнуті.

    Наші сертифікати
    Ключові висновки проєкту

    Завдяки співпраці з Datami UNIQA Insurance отримала повну картину ризиків iOS-додатка (виявлено 19 вразливостей, включаючи критичну) і чіткі рекомендації щодо їх усунення. Система стала стійкішою до атак, а відповідність GDPR помітно зросла.

    Кейс доводить: навіть масштабні компанії, які працюють з чутливими даними, потребують регулярного пентесту — основи цифрової безпеки для уникнення фінансових, юридичних та репутаційних ризиків.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Помірний ризик
    Рівень ризику знижено, виявлено 19 вразливостей, критичну усунено
    Критичні вразливості
    Потенційно можливі
    Виявлено 1, усунено
    Компрометація акаунтів
    Можлива через уразливість авторизації
    Ризик знижено після виправлень
    Сторонні інтеграції
    Не всі були задокументовані
    Виявлено та протестовано
    Відповідність безпеці
    Часткова відповідність
    Покращено відповідність фінансовим стандартам
    Строки
    Залежали від внутрішніх дедлайнів клієнта
    Проєкт завершено вчасно
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Перевірка безпеки медичної платформи DonorUA

    Перевірка безпеки медичної платформи DonorUA

    • Надано звіт з рекомендаціями для зміцнення захисту.
    • Підтверджено відсутність критичних загроз для безпеки.
    Послуги:
    Пентест вебдодатків (Black-box)
    Лист. 18, 2025
    Протокол безпеки для компанії INOI

    Протокол безпеки для компанії INOI

    • Розроблено персоналізований протокол безпеки
    • Підвищено готовність компанії до кризових ситуацій
    Послуги:
    Розробка Security Protocol – консалтинг кібербезпеки
    Лист. 7, 2025
    Перевірка кібербезпеки платформи опитувань

    Перевірка кібербезпеки платформи опитувань

    • Перевірено три сценарії онлайн-опитувань
    • Покращено загальний рівень кібербезпеки
    Послуги:
    Лист. 5, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Програма-вимагач KillSec атакує охорону здоров'я Datami Newsroom
    Datami Newsroom

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Datami на MERGE Madrid та EBC 25 Datami Newsroom
    Datami Newsroom

    Datami на MERGE Madrid та EBC 25

    Команда Datami побувала на MERGE Madrid та European Blockchain Convention 2025, щоб поділитися досвідом і побачити, як змінюється Web3. Цього року більше говорили про реальні рішення – безпеку, аудит і прозорі стандарти, які формують новий ритм індустрії.

    Лист. 13, 2025 3 хв.
    Типи кібератак Олександр Філіпов
    Олександр Філіпов

    Типи кібератак

    Щоб ефективно захистити дані та системи, важливо розуміти, які існують типи кібератак і як вони працюють. У цій статті розглянемо основні види атак та з’ясуємо, як уберегти від них свій бізнес.

    Лист. 6, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie