Портал "Дія" под атакой утечки данных: эксперты и власти опровергают слухи
Недавно в интернете обсуждалась возможная утечка данных с портала "Дія" через файл с названием diia_users_db_2025.zip. В Минцифры и киберэксперты опровергают взлом, считая это информационной атакой.
21 сентября украинские медиа распространили информацию о возможной утечке данных из приложения "Дія". Народный депутат Александр Федийко заявил, что в архиве содержится более 20 миллионов записей с именами, электронными адресами и датами рождения пользователей. Однако Министерство цифровой трансформации Украины (Минцифры) опровергло эти обвинения, назвав их попыткой дискредитировать доверие к государственным онлайн-сервисам. Они подчеркнули, что "Дія" не сохраняет персональные данные, а лишь транспортирует их из государственных реестров.
Киберэксперты из Института исследования кибервойны (ICWR) отметили, что файл содержит устаревшие данные, а информация из архива уже была в публичном доступе ранее — еще в 2022 году. Эксперты обращают внимание на такие признаки взлома, как электронные адреса с доменом "mail.ru", которые не могут быть использованы для регистрации в "Дії" после 2022 года, и подозрительные изменения годового показателя в датах рождения.
Егор Папишев, специалист по кибербезопасности, считает, что вероятная утечка является модификацией более ранних взломов, свидетельствующих о попытках врага дискредитировать правительственные сервисы. Пока эксперты подчеркивают мощную оборонную позицию "Дії", на сами угрозы не перестают обращать внимание как интеллектуальные сообщества, так и общественные деятели.
Специалисты рассматривают возможность уязвимости типа IDOR в "Дії", которая позволяет обойти систему защиты через манипуляцию идентификаторами без проверки прав доступа. В Институте исследования кибервойны призывают к тестированию систем на уязвимость через программы BugBounty и обучению сотрудников, отвечающих за данные.
Эксперты по кибербезопасности подчеркивают важность внедрения системных тренингов для повышения киберустойчивости государственных сервисов. В то же время, CEO CyberUnit.Tech Егор Аушев отметил, что его команду не приглашали для аудита инфраструктуры "Дії".
