Міністерство цифрової трансформації спростувало інформацію про масовий витік даних із застосунку Дія. Після внутрішнього розслідування команда зазначила, що опубліковані файли не є наслідком злому або витоку з системи. Натомість, оприлюднені матеріали складаються з комбінації раніше відомих витоків та штучно доданих записів, які мають створити враження «нової» бази.
Таку інформацію представив заступник міністра з кібербезпеки та хмар Віталій Балашов на офіційній сторінці Мінцифри у Telegram.
Що виявили у Мінцифрі
За словами відомства, оголошені файли містять “суміш раніше відомих даних з комерційних джерел”, які “було вручну відредаговано та доповнено фальшивими записами”.
“Оприлюднені файли є фальсифікацією та не походять із систем Дія”, – наголосив Віталій Балашов.
В Мінцифрі підкреслюють, що така “освіжаюча” практика є типовою для чорного ринку, коли старі набори даних підганяють під масовий витік, щоб ввести людей в оману.
Міністерство пояснює, що збір розрізнених відкритих даних в єдиний масив робить їх зручнішими для зловмисників, але це не означає, що система Дія була зламана.
“Ми вважаємо поширення підроблених файлів скоординованою спробою атаки на Дію та підриву довіри до державних сервісів”, – наголосив Балашов.
Відомство знову підкреслює: “Дія не зберігає персональних даних – система працює за принципом data-in-transit: інформація підтягується з державних реєстрів у момент запиту і не накопичується в застосунку або на порталі”.
На підтвердження цього Мінцифра нагадала про публічний реліз коду: “в березні 2024 року було оприлюднено код Дії. Він доступний для всіх, і будь-хто може переконатися, що в ньому немає прихованих баз із даними громадян”.
Зазначимо, що Дія ідентифікує особу користувача, а потім звертається до державних реєстрів за витягом персональних даних. Це означає, що вона функціонує як програма-клієнт, а державні реєстри виступають як програма-сервер.
Щодо даних, які вже витягнули, приміром, вашої ID-картки або водійського посвідчення, вони також не зберігаються на серверах Дії, а завантажуються на смартфон користувача.
Наприклад, якщо ви замовляли через Дію витяг, такий як довідку про місце проживання, – Дія згенерує цю довідку і запропонує завантажити її.
При цьому вона попередить, що зробити це можливо, скажімо, протягом 24 годин. Саме стільки часу ваші дані зберігаються у Дії, після чого їх буде видалено. Отже, за такою логікою, хакерам слід ламати будь-що, окрім Дії.
Народний депутат Олександр Федієнко повідомив, що в мережу потрапив великий файл з особистими даними українців. Йдеться про 20 мільйонів записів, останні з яких датуються початком січня 2025 року. Депутат вважає, що витік міг статися через реєстри, пов’язані з податковою.
Федієнко навіть виявив у цій базі інформацію про депутатів і дані особи, яка зі 100-відсотковою гарантією не використовує “Дію”. Депутат закликає громадян не використовувати свій фінансовий номер ніде, окрім банківських додатків, тобто “не світити” його публічно. Остання злиту базу містить безліч фінансових номерів українців, що робить її особливо унікальною.
Народний депутат Ярослав Железняк вранці неділі, 20 вересня, прокоментував інформацію про можливий грандіозний витік даних на 20 мільйонів рядків особистих даних українців. Згідно з депутатом, злиті дані не є новими, а компільованими. Наприклад, у даних міститься стара інформація з “Дії” на 3,5 мільйона рядків.
