21 вересня у мережі з’явилася інформація про нібито масовий витік персональних даних українців із державного застосунку «Дія». У Мінцифри запевнили, що ця інформація не відповідає дійсності.
Народний депутат України Олександр Федієнко заявив у Facebook, що в мережі опубліковано архів під назвою diia_users_db_2025.zip, який нібито містить персональні дані понад 20 мільйонів українців. За його словами, дані, ймовірно, зібрані з різних фінансових установ і державних реєстрів, зокрема пов’язаних із податковою. Частина архіву нібито доступна безкоштовно, а повна база пропонується для продажу.
«Дуже схоже, що злиту базу зібрали зі шматків різноманітних фінансових установ. По факту вона і так є в публічному доступі різних реєстрів, але зараз її зібрали в один масив. Коли, хто і як це зробив, це вже конспірологічна історія. У базі приблизно 20 мільйонів рядків. Поки той файл, що блукає мережею, там обмежена кількість громадян, повна база продається за гроші. Побачив багатьох знайомих політиків, є, зокрема, номер телефону, і він правильний», — ідеться в повідомленні.
Експерти з кібербезпеки також повідомили про підозрілий архів, але у Міністерстві цифрової трансформації відразу спростували інформацію про «злив».
Заступник Міністра з питань кібербезпеки та хмар Віталій Балашов пояснив:
«Поширені файли — фальсифікація. Вони не походять із систем «Дії» і не є результатом їхнього зламу чи витоку. Це суміш раніше відомих «зливів» із комерційних джерел, які вручну відредагували та доповнили підробними записами, щоб створити ілюзію свіжої бази».
У Мінцифри вважають поширення цих файлів скоординованою атакою на «Дію» і спробою підірвати довіру до державних сервісів.
Балашов підкреслив, що «Дія» не зберігає персональних даних громадян. Система працює за принципом data-in-transit: інформація підтягувалася з державних реєстрів у момент запиту й не накопичується у застосунку чи на порталі.
Кіберфахівці Шон Таунсенд і Кір Важницький підтвердили автентичність даних із порталу «Дія» (браузерна версія, не застосунок).
Основне
• Дані актуальні станом на початок 2025 року.
• У семплі — 1 мільйон записів, з них 983 300 — реальні податкові резиденти, не всі з яких є громадянами України.
• 16 700 — тестові дані й артефакти авторизації через ключі юросіб.
• Обсяг може бути більшим за продемонстрований.
• Поле createdAt — це дата оновлення профілю, не створення.
• Структуру змінювали: три поля ПІБ об’єднані у FIO, формат дат змінено.
Експерти наголошують: дані справжні, але витік стосується саме порталу, а не застосунку «Дія».
Олександр Федієнко рекомендує українцям приділити увагу безпеці персональної інформації. Особливо це стосується тих, чиї фінансові номери телефонів досі не оформлені на контракт або не прив’язані до паспорта.
Федієнко попередив про ризик нових атак:
«Не виключаю, що буде багато фішингу. Судячи з прикладу, він уже відбувається. Подбайте про це, особливо ті, хто користується Telegram. Не забувайте перевіряти у розділі «Пристрої», чи ніхто до вас уже не підключився».
Що варто зробити оперативно:
• Змінити паролі для сервісів, прив’язаних до номера телефону чи електронної пошти.
• Встановити двофакторну автентифікацію.
• За можливості змінити фінансові номери телефонів.
У березні 2024 року було оприлюднено код «Дії» у відкритому доступі, що дає можливість будь-кому перевірити відсутність прихованих баз із даними користувачів.
Це вже не перший випадок появи фейкових «зливів». У 2022 році подібна інформація про продаж даних нібито з «Дії» також поширювалася в мережі. Тоді у Мінцифри заявили, що це елемент гібридної війни.
Чому це важливо
• Новина напряму стосується кібербезпеки державних сервісів.
• «Дія» — це основний цифровий інструмент України, і спроби дискредитації мають політичний та інформаційний вимір.
• Поява фейкових «зливів» може стати інструментом тиску на громадян і державу.
Нагадаємо, що 19 грудня 2024 року стало відомо про масштабний збій у роботі низки державних реєстрів, інтегрованих у застосунок «Дія». Російська хакерська група XakNet Team заявила у своєму телеграм-каналі, що зламала понад 30 основних державних реєстрів України.