Витік даних 20 мільйонів українських користувачів у мережу відбувся не через Дію: Мінцифри вийшла з заявою
Мінцифра пояснює, що збирання розрізнених відкритих даних в єдиний масив робить їх зручнішими для зловмисників, але це не означає, що система Дія була зламана
Міністерство цифрової трансформації спростувало повідомлення про масовий витік даних із застосунку Дія. Після внутрішнього розслідування команда відзначає, що поширені файли - не результат злому чи витоку з системи. Натомість опубліковані матеріали містять поєднання раніше відомих витоків і штучно доданих записів, які мають створити враження "нової" бази.
Таке роз'яснення дав заступник міністра з кібербезпеки та хмар Віталій Балашов на офіційній сторінці Мінцифри у Telegram.
Що виявили у Мінцифрі
За словами відомства, оприлюднені файли - "суміш раніше відомих "зливів" з комерційних джерел", які "вручну відредагували та доповнили підробними записами".
"Поширені файли - фальсифікація та не походять із систем Дії", - прямо зазначив Віталій Балашов.
У відомстві підкреслюють, що така "освіжаюча" практика є типовою для чорного ринку, коли старі набори даних підганяють під масовий витік, щоб ввести людей в оману.
Мінцифра пояснює, що збирання розрізнених відкритих даних в єдиний масив робить їх зручнішими для зловмисників, але це не означає, що система Дія була зламана.
"Ми розцінюємо поширення підроблених файлів як скоординовану спробу атаки на Дію та підрив довіри до державних сервісів", - наголосив Балашов.
Відомство вкотре підкреслює: "Дія не зберігає персональних даних - система працює за принципом data-in-transit: інформація підтягується з державних реєстрів у момент запиту і не накопичується в застосунку чи на порталі".
У підтвердження цього Мінцифра нагадала про публічний реліз коду: "в березні 2024 року було оприлюднено код Дії. Він знаходиться у відкритому доступі, і будь-хто може переконатися, що в ньому немає прихованих баз із даними громадян".
Зазначимо, Дія ідентифікує особу користувача, а потім звертається до державних реєстрів за витягом персональних даних. Тобто працює як програма-клієнт, тоді як державні реєстри виступають, як програма-сервер.
Стосовно вже витягнутих даних, приміром, вашої ID-картки чи водійського посвідчення, то вони також зберігаються не на серверах Дії, а завантажуються на смартфон користувача.
Приміром, якщо ви замовили через Дію якийсь витяг, наприклад, довідку про місце проживання, - Дія згенерує таку довідку та запропонує завантажити її.
При цьому вона попередить, що зробити це можна, наприклад, протягом 24 годин. Саме такий час ваші дані зберігатимуться безпосередньо у Дії, потім їх буде видалено. Відтак, за цією логікою хакерам варто ламати будь-що, але не Дію.
Народний депутат Олександр Федієнко повідомив, що у мережу злили величезний файл з особистими даними українців. Мова йде про 20 мільйонів записів, останні із яким датуються початком січня 2025 року. Депутат припускає, що злив міг статися через реєстри, пов'язані із податковою.
Федієнко навіть знайшов у цій базі інформацію про нардепів і дані людини, яка зі 100-відсотковою гарантією не користується "Дією". Депутат закликає громадян не користуватися власним фінансовим номером ніде більше, як крім банківських додатків, себто "не світити" його ще десь публічно. Остання злита база містить багато фінномерів українці, що власне і є її особливістю.
Народний депутат Ярослав Железняк вранці у неділю, 20 вересня, відреагував на інформацію про ймовірний грандіозний злив даних на 20 мільйонів рядків особистих даних українців. Депутат каже, що злита база - не свіжа, а компільована. Приміром, у даних є стара інформація з "Дії" на 3,5 млн рядків.
Читайте нас у Facebook
