+380996133328 [email protected]
ua
ua

UNIQA: Оцінка безпеки iOS-додатка

Клієнт:
Uniqa Insurance — велика міжнародна страхова компанія з головним офісом у Відні
Галузь:
Страхування
Фокус:
Захист персональних та фінансових даних у мобільному застосунку
Основний виклик:
Перевірка безпеки iOS-додатка з метою запобігання витоку даних і несанкціонованого доступу
Ринок:
Центральна та Східна Європа
Надані послуги:
Пентест iOS-додатка, аналіз автентифікації, API, інтеграції
Ключові висновки
  • Покращено відповідність GDPR та обробку даних
  • Посилено безпеку API та автентифікацію
  • Виявлено 19 вразливостей, включно з однією критичною
  • Проведено Gray-box тестування на проникнення iOS-додатку
  • Надано звіт із чіткими рекомендаціями щодо зниження ризиків
    • 19
    вразливостей виявлено
    GDPR
    вимоги враховано
    100 %
    виконано вчасно
    UNIQA: Оцінка безпеки iOS-додатка
    Груд. 20, 2024
    14 хв
    UNIQA Insurance замовила перевірку безпеки свого iOS-додатка, щоб запобігти витоку персональних і фінансових даних. Під час Gray-box пентесту команда Datami виявила 19 вразливостей і надала рекомендації, які допомогли знизити ризики та підвищити відповідність GDPR.

    Uniqa Insurance – міжнародна страхова корпорація з головним офісом у Відні, яка працює на ринку Центральної та Східної Європи. Компанія активно використовує мобільні додатки, вебсайт, клієнтський портал і онлайн-сервіси, які щодня обслуговують десятки тисяч клієнтів. 

    Для UNIQA критично важливим є захист від витоку інформації, несанкціонованого доступу й зламу мобільного додатка.

    Завдання та виклики
    UNIQA Insurance працює у фінансовій сфері з підвищеними ризиками, обробляє персональні та фінансові дані клієнтів і дотримується стандартів ISO 27001 та GDPR. 
    Через ризики витоку даних і зламу застосунку компанія ініціювала планову перевірку безпеки iOS-додатка — ключового каналу взаємодії з клієнтами.
    Завдання для команди:
     
    • Провести пентест iOS-додатка, включаючи API та серверні компоненти.
    • Проаналізувати автентифікацію, мережевий трафік, інтеграції з іншими сервісами.
    • Виявити всі уразливості та підготувати детальний звіт із рекомендаціями.
    • Врахувати вимоги GDPR та стандартів безпеки фінансової галузі.
    icon
    Провести пентест
    Тест на проникнення iOS-додатка для пошуку вразливостей
    icon
    Перевірити кіберзахист
    Проаналізувати ризики витоку даних та зламу акаунтів
    icon
    Підготувати звіт
    Описати проблеми та ризики, надати рекомендації
    Методологія Datami для перевірки безпеки Uniqa Insurance

    Наш підхід

    У межах проєкту ми комплексно перевірили iOS-додаток UNIQA разом з API-запитами, автентифікацією, мережевим трафіком та сторонніми інтеграціями. 

    Основним методом став пентест із використанням Gray-box підходу. 

    Ми поєднали автоматизоване сканування (Burp Suite, OWASP Mobile Testing Guide) із ручним тестуванням та власними скриптами для аналізу критичних зон. 

    Такий підхід дозволив виявити 19 вразливостей, включно з однією критичною, і підготувати детальні технічні рекомендації для їх усунення.

     

    Gray-box

    Gray-box

    Команда мала обмежений доступ до технічної інформації. Це дозволило змоделювати реальні сценарії атак з позиції частково обізнаного зловмисника та досягти балансу між глибиною та реалістичністю.
    Основні етапи роботи та рішення

    Під час проєкту команда виявила сторонні інтеграції, не зазначені клієнтом, і оперативно їх перевірила. Це дозволило охопити всі критично важливі компоненти системи. 

    Проєкт був виконаний у повному обсязі та вчасно. Комунікація з командою UNIQA проходила через обмін повідомленнями, а регулярне інформування про хід робіт забезпечило прозорість та швидке реагування.

    Робота відбувалась поетапно:

    • Підготовка
      — планування, уточнення технічних деталей і аналіз архітектури додатка для визначення зон ризику.
    • Pentest iOS-додатка з gray-box підходом
      — перевірка API, автентифікації, трафіку та інтеграцій із застосуванням автоматизованих та ручних методів.
    • Аналіз і звіт
      — складання детального звіту про виконану роботу та надання рекомендацій для усунення вразливостей і підвищення рівня захисту.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    На початку проєкту рівень захисту мобільного додатка UNIQA оцінювався як помірно ризикований: одна висока та низки конфігураційних проблем створювали потенційні ризики для персональних і фінансових даних. Під час пентесту команда Datami виявила 19 вразливостей, включаючи критичну.

    Після впровадження рекомендацій система стала значно стійкішою до атак: ризик несанкціонованого доступу значно знижено, ймовірність витоку даних мінімізовано, а відповідність вимогам GDPR і фінансових стандартів — підвищено.

    Клієнт отримав чіткі рекомендації для подальшого зміцнення кіберзахисту:

    1. усунення вразливостей;
    2. перегляд автентифікації;
    3. перевірка всіх сторонніх інтеграцій.

    UNIQA отримала не лише розуміння технічних ризиків і практичні кроки для їх усунення, а й знизила потенційні фінансові та репутаційні втрати. Всі цілі були проєкту досягнуті.

    Наші сертифікати

    Ключові висновки проєкту

    Завдяки співпраці з Datami UNIQA Insurance отримала повну картину ризиків iOS-додатка (виявлено 19 вразливостей, включаючи критичну) і чіткі рекомендації щодо їх усунення. Система стала стійкішою до атак, а відповідність GDPR помітно зросла.

    Кейс доводить: навіть масштабні компанії, які працюють з чутливими даними, потребують регулярного пентесту — основи цифрової безпеки для уникнення фінансових, юридичних та репутаційних ризиків.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Помірний ризик
    Рівень ризику знижено, виявлено 19 вразливостей, критичну усунено
    Критичні вразливості
    Потенційно можливі
    Виявлено 1, усунено
    Компрометація акаунтів
    Можлива через уразливість авторизації
    Ризик знижено після виправлень
    Сторонні інтеграції
    Не всі були задокументовані
    Виявлено та протестовано
    Відповідність безпеці
    Часткова відповідність
    Покращено відповідність фінансовим стандартам
    Строки
    Залежали від внутрішніх дедлайнів клієнта
    Проєкт завершено вчасно
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie