Чи був «злив» і наскільки насправді захищена «Дія»

У середині вересня у відкритому доступі знайшли архів даних із назвою diia_users_db_2025.zip. Файл потенційно може містити паспортні, податкові та контактні дані мільйонів громадян.

DOU разом з експертами з кібербезпеки розібрався, чим є цей архів, наскільки в ньому може бути достовірна інформація, як архів може бути пов’язаний із «Дією» і які можуть бути ризики для цивільних і військових.

💻 У Мінцифри кажуть про скоординовану атаку на державні сервіси

Про появу файлу першим публічно заявив народний депутат Олександр Федієнко. Він зазначив, що в архіві зібрані не лише паспортні чи податкові дані, а й контактна інформація.

«По факту вона і так є в публічному доступі різних реєстрів, але зараз її зібрали в один масив. В базі „приблизно“ 20 мільйонів рядків. Поки що файл блукає мережею, там обмежена кількість громадян, повна база продається за гроші».

У Міністерстві цифрової трансформації заперечили «злив» даних з «Дії».

«Після перевірки наша команда встановила: ці файли — суміш старих витоків із комерційних джерел, які вручну доповнили вигаданими записами, щоб видати їх за нову базу. Це типова практика чорного ринку»

Балашов вважає це скоординованою атакою на державні сервіси, яка має на меті підірвати довіру до «Дії».

У міністерстві підкреслили, що «Дія» не зберігає даних користувачів. Система працює за моделлю data-in-transit. Це означає, що інформація підтягується з державних реєстрів у момент запиту і не накопичується на серверах застосунку чи порталу. Тобто навіть у разі злому самої «Дії» витягнути з неї «повну базу» неможливо.

Додатковим аргументом проти звинувачень стало й те, що ще в березні 2024 року вихідний код застосунку був оприлюднений у відкритому доступі. Це дало змогу всім охочим переконатися, які саме дані обробляє система, а яких у ній немає.

🔒 Чи погоджуються з цим фахівці з кібербезпеки

За словами опитаних DOU експертів, важко сказати, звідки взята інформація, зібрана в архіві. Частина з них схиляються до позиції, що це компіляція даних з різних джерел, проте припускають і можливість використання інформації з «Дії».

«Це точно витік даних, але чи з „Дії“, чи це компіляція інших витоків даних, однозначно стверджувати складно. Я схиляюся до думки, що це компіляція з різних витоків».

Водночас Сергій Денисенко, виконавчий директор CyberLab, називає твердження про витік з «Дії» некоректними, оскільки сам сервіс не є сховищем інформації. За його словами, джерелом даних могли стати будь-які інші реєстри, наприклад, Міністерства соціальної політики чи Міністерства внутрішніх справ. Або навіть бази даних, що зібрані роками з комерційних джерел, таких як програми лояльності магазинів.

Представник Інституту дослідження кібервійни Джорж Папарига звернув увагу на те, що у оприлюдненому файлі наявні адреси на доменах mail.ru та rambler.ru. При цьому акаунти в базі ніби зареєстровані у 2023–2024 роках. Це неможливо, адже інтерфейс «Дії» блокує використання подібних доменів.

«При спробі реєстрації з’являється повідомлення: «Електронну адресу з цим доменом для отримання державних послуг використовувати не можна».

Іншим моментом є те, наскільки дані в diia_users_db_2025.zip є достовірними. Так, Сергій Харюк каже, що інформація може бути справжньою, але застарілою.

Сергій Денисенко підкреслює, що верифікувати достовірність можливо лише через глибокий аналіз — як самого файлу, так і реальних даних громадян.

«Для цього треба брати записи і дивитися ті рядки, які стосуються конкретних людей, і фізично перевіряти. Попередній аналіз показує, що записи не сильно актуальні, а деякі видаються штучно оновленими».

При цьому, за словами нардепа Федієнка, він особисто знайшов у базі номери телефонів українських політиків, які є коректними.

Загалом співрозмовники DOU вважають, що використання назви «Дія» у витоках не випадкове. Харюк і Денисенко кажуть, що це підвищує цінність файлів на чорному ринку. Іншою причиною може бути бажання створити суспільний резонанс. Вони допускають, що йтися може про інформаційно-психологічні операції з боку росії, спрямовані на підрив довіри до державних сервісів, зокрема «Резерв+» та «Армія+».

«Продати просто компіляцію набагато важче, ніж продати виток даних з „Дії“. Або це може бути елементом інформаційно-психологічних операцій ворога, щоб розхитати ситуацію в Україні», — наголосив Харюк.

Цю думку підтверджує і Папарига. Він зазначає, що архів з’явився в мережі ще влітку, але активне обговорення почалося пізніше, що більше нагадує інформаційний вкид, ніж новий масштабний витік.

«Файл був доступний ще влітку, а увага з’явилася саме зараз. Це схоже на інформаційну атаку, мета якої — посіяти паніку», — зазначив він.

🔍 Наскільки захищена «Дія»

Сергій Денисенко пояснив, що «Дія» не є сховищем персональних даних. Це застосунок, який працює як інтерфейс до державних реєстрів. Дані підтягуються лише в момент запиту і не накопичуються на серверах. Саме тому, за словами експертів, навіть у разі зламу отримати повну базу через сам застосунок неможливо.

За його словами, система має базові механізми захисту: використовується шифрування, а передача даних відбувається тільки захищеними каналами. Найбільш уразливим елементом він називає пристрої користувачів.

«Якщо скомпрометують мобільний телефон або комп’ютер, через який користувач ходить в „Дію“, то зловмисники зможуть від імені користувача заходити на цей ресурс і отримувати певну інформацію про людину», — підкреслив Денисенко.

При цьому масове викачування даних через «Дію» неможливе, адже всі звернення відбуваються точково, вважає експерт. Значно простіше атакувати безпосередньо державні реєстри, де зберігається інформація.

Сергій Харюк вказує на те, що в «Дії» є окрема кібербезпекова команда.

«Я особисто знаю людей звідти. Це талановиті спеціалісти, які виросли з нашої спільноти DefCon Kyiv DC 8044. Але це не означає, що сервіс неможливо зламати. Будь-який DevOps чи адміністратор може зробити помилку, яку не встигли помітити, і це створює ризики», — Каже Харюк

За його словами, справжній рівень кібербезпеки оцінити неможливо, оскільки він не бачив звітів від Мінцифри про виявлення вразливостей і їхнє закриття.

CEO CyberUnit.Tech Єгор Аушев підтверджує цю тезу і каже, що відомство не залучило до аудитів системи ані його компанію, ані інших. За його словами, під час створення «Дії» акцент був зроблений на швидкому запуску сервісів, а не на принципі secure by design. У майбутньому подібні інциденти повторюватимуться, якщо культура кіберзахисту не стане пріоритетною.

«Найкращі світові практики говорять, що майже до 20% від бюджету має йти саме на кібербезпеку».

Джорж Папарига, представник Інституту дослідження кібервійни, звертає увагу на можливі технічні ризики. Він посилається на деяких дослідників «Дії», які заявляють про вразливість IDOR (Insecure Direct Object Reference), коли зміна ідентифікатора в запиті може відкрити доступ до чужих даних. На його думку, вирішити це можна лише через постійні перевірки.

«Державні інформаційні системи потрібно регулярно перевіряти на наявність вразливостей — не епізодично, а в рамках офіційних і прозорих програм зі скоординованого пошуку (так званих Bug Bounty програм). Відкрита BugBounty програма демонструє довіру до сервісу, оскільки він перевіряється незалежними експертами», — наголошує Папарига.

Він додає, що відкритий вихідний код «Дії» є одночасно перевагою і ризиком. Він підвищує довіру та дозволяє незалежним експертам шукати слабкі місця, але без швидкого механізму виправлення виявлених проблем може стати джерелом нових атак.

🩹 Які ризики для користувачів і як захиститися

Поширення архівів з персональними даними створює для людей низку небезпек, навіть якщо інформація в них частково застаріла. Найчастіше такі бази використовуються для шахрайства — від масових фішингових розсилок до фінансових схем.

Експерти пояснюють, що наявність у базі телефонів та електронних адрес робить атаки зловмисників значно переконливішими. За словами Папариги, з реальними даними шахраї створюють повідомлення на кшталт «Ваш акаунт у Дії зламано» або «Підтвердьте документи», які можуть змусити людину перейти за шкідливим посиланням.

Якщо ж у базі присутні ПІБ, дати народження, адреси чи інші ідентифікатори, зростає ризик фінансових злочинів. Дані можуть використати для отримання кредитів або підробки документів.

Спеціалісти з кібербезпеки кажуть: якщо дані вже є в тій базі, то єдиним способом захиститися — бути уважним і дотримуватися правил кібергігієни:

На рівні держави експерти відзначають потребу у масштабніших програмах сповіщення громадян та масовому підвищенні кіберобізнаності. Крім того, є необхідність запроваджувати вже згадані BugBounty-програми для державних сервісів, щоб системно знаходити та усувати уразливості до того, як ними скористаються зловмисники.

📲 Тренди в російських кібератаках і небезпека для військових

Фахівці відзначають, що нині змінюється тактика російських кібероперацій. За словами Харюка, якщо раніше основний фокус був на атаках проти критичної інфраструктури та державних установ, то тепер дедалі більше уваги приділяється військовим. Державні сервіси можуть стати частиною так званих supply chain-атак, коли через цивільні платформи противник намагається отримати вихід на військових користувачів.

Також росіяни зміщують фокус з прямих атак (диверсій) на довготривалі розвідувальні операції. Такі кампанії можуть тривати роками й бути спрямованими на збір детальної інформації на фронті.

«Ворог починає більше все-таки грати в розвідку. Збирати розвіддані про наших військових, куди планується яка операція, які переміщення, хто куди виводить підрозділи», — зазначив CEO AmonSul Сергій Харюк

Особливо небезпечними, за його словами, ці тенденції стають у разі витоку даних з контактами або особистими ідентифікаторами військовослужбовців. Тоді з’являється ризик цілеспрямованого тиску, спроб деанонімізації чи навіть фізичної загрози.