10 найбільших витоків: Київстар, держреєстри, Facebook, LinkedIn, ПриватБанк та інші.
Топ-10 витокiв даних, що зачепили українцiв (2024-2026)
Україна стала однiєю з найбiльш кiбератакованих країн свiту. За даними CERT-UA, у 2024 роцi країна зiткнулася з 4 315 кiберiнцидентами — це на 70% бiльше, нiж у 2023 роцi. Звiт Microsoft Digital Defense Report ставить Україну на 5-те мiсце у свiтi за обсягом кiбератак. Для звичайних громадян це означає, що їхнi персональнi данi — iмена, номери паспортiв, телефони, банкiвськi реквiзити — були викраденi, проданi та використанi як зброя в масштабах, яких зазнали небагато нацiй.
У цiй статтi ми розглядаємо десять найзначнiших витокiв та зламiв, що зачепили українських користувачiв з 2013 по 2026 рiк, включаючи як глобальнi мегавитоки, так i суто українськi iнциденти, пов'язанi з кiбервiйною.
Чому Україна — прiоритетна цiль
Перш нiж розглядати конкретнi iнциденти, важливо зрозумiти контекст. Україна перебуває на перетинi кiлькох векторiв загроз:
- Активна кiбервiйна: Вiд початку повномасштабного вторгнення Росiї у лютому 2022 року державнi хакерськi групи (Sandworm, Gamaredon, UAC-0006, XakNet) систематично атакують українську iнфраструктуру.
- Масова цифровiзацiя: Понад 21 мiльйон українцiв користуються додатком Дiя, що створює величезну поверхню для атак.
- Глобальнi платформи: Мiльйони українцiв використовують Facebook, LinkedIn та iншi сервiси, витоки яких мають всесвiтнiй масштаб.
- Фiнансовий сектор пiд прицiлом: ПриватБанк (найбiльший банк країни) та monobank є постiйними цiлями фiшингових та хакерських операцiй.
За даними CERT-UA, у 2024 роцi 58% усiх кiбератак були спрямованi на державнi органи (порiвняно з 20-25% у попереднi роки). Найпоширенiшi типи атак: розповсюдження шкiдливого ПЗ, фiшинг, шкiдливi з'єднання та компрометацiя облiкових записiв.
Топ-10 витокiв
1. Атака на Київстар (грудень 2023)
Дата: 12 грудня 2023
Постраждалi: 24,3 мiльйони мобiльних абонентiв + 1,1 мiльйона користувачiв домашнього iнтернету
Викраденi данi: Знищенi внутрiшнi системи; потенцiйний доступ до даних абонентiв
Атрибуцiя: Sandworm (ГРУ Росiї)
Атака на Київстар стала найруйнiвнiшим кiберударом по цивiльнiй iнфраструктурi України вiд початку повномасштабного вторгнення. Хакери росiйської вiйськової розвiдки проникли в мережу найбiльшого мобiльного оператора ще у травнi 2023 року, а до листопада отримали повний доступ. 12 грудня вони активували атаку — було знищено понад 10 000 комп'ютерiв, 4 000+ серверiв, усi хмарнi сховища та системи резервного копiювання.
Було виведено з ладу близько 40% iнфраструктури Київстар. Мiльйони користувачiв залишилися без зв'язку, а головне — системи оповiщення про повiтряну тривогу були порушенi пiд час активних бойових дiй. Київстар офiцiйно заперечив витiк персональних даних, проте хакерське угруповання Солнцепьок (фронт Sandworm) опублiкувало скрiншоти, що свiдчать про доступ до клiєнтських даних. Повне вiдновлення сервiсiв вiдбулося 20 грудня за допомогою СБУ.
2. Атака на державнi реєстри (грудень 2024)
Дата: 19-20 грудня 2024
Постраждалi: Потенцiйно всi громадяни з записами в державних базах
Викраденi данi: Реєстри власностi, бiометричнi данi, реєстрацiї бiзнесу
Атрибуцiя: Росiйськi державнi хакери (XakNet взяв вiдповiдальнiсть)
Українська правда назвала цю подiю найбiльшою кiбератакою на державнi реєстри України. Удар був спрямований на системи Мiнiстерства юстицiї, де зберiгаються критичнi бази даних: реєстри власностi, бiзнес-реєстрацiї та бiометричнi данi. Хакери заявили, що завантажили бази з понад мiльярдом рядкiв даних, а потiм знищили все, включаючи резервнi копiї на серверах у Польщi.
Додаток Дiя тимчасово призупинив десятки сервiсiв: реєстрацiю бiзнесу, виплати допомоги на дiтей, подання заяв на шлюб, допомогу з iнвалiднiстю. Прем'єр-мiнiстр Денис Шмигаль заявив, що Дiя була вiд'єднана вiд реєстрiв до компрометацiї, але повний масштаб витоку даних залишається пiд розслiдуванням.
3. Витiк даних Facebook / Meta (2021)
Дата: Данi зiбранi у 2019; оприлюдненi у квiтнi 2021
Постраждалi глобально: 533 мiльйони користувачiв у 106 країнах
Вплив на Україну: Сотнi тисяч українських акаунтiв
Викраденi данi: Повнi iмена, номери телефонiв, електроннi адреси, мiсцезнаходження, дати народження
У квiтнi 2021 року на хакерському форумi з'явився набiр персональних даних 533 мiльйонiв користувачiв Facebook. Данi було зiбрано через вразливiсть у функцiї iмпорту контактiв, яка дозволяла масово зiставляти номери телефонiв з профiлями. Найбiльше постраждали Iталiя (35 млн), США (32 млн), Францiя (19,8 млн) та Великобританiя (11 млн).
Для українських користувачiв цей витiк особливо небезпечний, оскiльки номери телефонiв, прив'язанi до реальних iмен, вiдкривають двери для цiльового фiшингу, SIM-свопiнгу та соцiальної iнженерiї — усi цi тактики активно використовуються росiйськими загрозами проти українських цiлей. Facebook заявив, що не повiдомлятиме постраждалих користувачiв.
4. Витiк LinkedIn (2021)
Дата: Квiтень-червень 2021
Постраждалi глобально: 700 мiльйонiв користувачiв (~92% усiх користувачiв LinkedIn)
Вплив на Україну: Значний — LinkedIn широко використовується українськими IT-фахiвцями та спецiалiстами з кiбербезпеки
Викраденi данi: Повнi iмена, електроннi адреси, телефони, мiсце роботи, професiйнi профiлi
Хакери зiбрали данi приблизно 700 мiльйонiв акаунтiв LinkedIn — майже всю базу користувачiв. Для українських фахiвцiв з кiбербезпеки, IT-працiвникiв та спiвробiтникiв оборонного сектору цi данi є золотою жилою для цiльових фiшингових кампанiй. Росiйськi APT-групи неодноразово використовували данi LinkedIn для створення персоналiзованих атак проти українських вiйськових та державних службовцiв.
5. Компiляцiї Collection #1-5 (2019)
Дата: Сiчень 2019
Загальний обсяг: 2,7 мiльярда пар email/пароль (773 мiльйони унiкальних email у Collection #1)
Вплив на Україну: Мiльйони українських облiкових записiв
Викраденi данi: Електроннi адреси та паролi з 2 000+ попереднiх витокiв
Компiляцiї Collection #1-5 — це найбiльше зiбрання викрадених облiкових даних в iсторiї. Лише Collection #1 мiстив 773 мiльйони унiкальних email-адрес та 21 мiльйон унiкальних паролiв, зiбраних з понад 2 000 окремих витокiв.
Цi компiляцiї особливо небезпечнi для українських користувачiв, оскiльки уможливлюють credential stuffing — автоматизованi спроби входу в акаунти з використанням ранiше викрадених паролiв. Зважаючи на те, що багато українцiв використовують однаковi паролi на рiзних сервiсах, цi бази вiдкривають прямий шлях до електронної пошти, банкiнгу, соцiальних мереж i навiть державних сервiсiв.
6. Витоки через Telegram-боти (2020-2022)
Дата: З 2020 року
Постраждалi: До 26 мiльйонiв записiв заявлено; нардеп Федiєнко назвав цифру 20 мiльйонiв
Викраденi данi: Номери паспортiв, IПН, водiйськi посвiдчення, банкiвськi реквiзити, паролi соцмереж
Джерело: Агрегованi данi з множинних витокiв державних та комерцiйних баз
Починаючи з 2020 року, Telegram-боти на кшталт @UA_baza почали продавати персональнi данi українських громадян за символiчну плату. Цi боти агрегували данi з рiзних джерел, заявляючи про наявнiсть 900 ГБ записiв, включаючи паспортнi данi, IПН, водiйськi посвiдчення та банкiвськi реквiзити. Народний депутат повiдомив, що данi приблизно 20 мiльйонiв громадян доступнi через цi канали.
У 2021 роцi в мережi з'явилися файли, нiбито з Дiї, що мiстили iмена, дати народження, номери паспортiв, фото та данi COVID-вакцинацiї. Мiнцифри заперечило причетнiсть Дiї, зазначивши, що боти заявляють про 26 мiльйонiв водiйських посвiдчень, хоча в Українi їх iснує лише 9,5 мiльйона. СБУ розпочала розслiдування, але цi боти продемонстрували, як фрагментованi витоки з державних баз можуть бути зiбранi та використанi як зброя.
7. База даних клiєнтiв ПриватБанку (2020-2024)
Дата: База з'явилася на хакерських форумах; фiшинговi кампанiї тривають до 2024 року
Постраждалi: До 40 мiльйонiв записiв заявлено
Викраденi данi: ПIБ, дати народження, паспортнi данi, контактна iнформацiя, банкiвськi данi
Атрибуцiя: Невiдомi початковi актори; UAC-0006 пов'язаний з фiшинговими кампанiями
Невiдомий зловмисник виставив на хакерському форумi те, що нiбито є повною базою клiєнтiв ПриватБанку — 40 мiльйонiв записiв з паспортними даними, банкiвською iнформацiєю та персональними даними. ПриватБанк заперечив витiк, заявивши, що данi "створенi шахраями". Однак на момент нацiоналiзацiї у 2016 роцi банк мав близько 20 мiльйонiв клiєнтiв, що ставить пiд сумнiв автентичнiсть датасету.
Незалежно вiд походження бази, клiєнти ПриватБанку зазнають безперервних фiшингових атак, пов'язаних з групою UAC-0006. Активнi щонайменше з листопада 2024 року, цi кампанiї використовують пiдробленi листи з запароленими архiвами, що розгортають шкiдливе ПЗ SmokeLoader для крадiжки даних та несанкцiонованого доступу до рахункiв.
8. Витiк даних Adobe (2013)
Дата: Жовтень 2013
Постраждалi глобально: 153 мiльйони акаунтiв
Викраденi данi: ID, iмена користувачiв, email, зашифрованi паролi, пiдказки до паролiв вiдкритим текстом
Вплив на Україну: Українськi дизайнери, IT-фахiвцi та студенти, що використовують продукти Adobe
Хоча цей витiк передує поточному конфлiкту, його наслiдки тривають досi. Зловмисники зламали веб-сервер Adobe та отримали 153 мiльйони записiв. Шифрування паролiв було реалiзовано погано, а пiдказки до паролiв вiдкритим текстом дозволяли легко вiдновити багато паролiв.
Для українських користувачiв проблема — у довговiчностi: паролi та email-адреси з витоку 2013 року продовжують з'являтися в атаках credential stuffing та компiляцiйних базах (як Collection #1-5) понад десятирiччя потому.
9. DDoS-атаки на monobank та фiнансовий сектор (2024)
Дата: Кiлька iнцидентiв протягом 2024 року
Постраждалi: 8+ мiльйонiв користувачiв monobank; ширший фiнансовий сектор
Тип атаки: DDoS (7,5 мiльярда запитiв), фiшинг, розповсюдження шкiдливого ПЗ
Атрибуцiя: Пiдозрюванi росiйськi державнi актори
Monobank, популярний український мобiльний банк з понад 8 мiльйонами користувачiв, зазнав масованої DDoS-атаки, що тривала цiлi вихiднi з пiковим навантаженням у 7,5 мiльярда запитiв. Атака була спрямована саме на сервiс збору донатiв для ЗСУ.
Хоча DDoS-атаки безпосередньо не призводять до витоку даних, вони часто використовуються як димова завiса для спроб ексфiльтрацiї даних або для порушення банкiвських сервiсiв пiд час координованих фiшингових кампанiй. У поєднаннi з кампанiями SmokeLoader проти ПриватБанку фiнансовий сектор України зазнає постiйних багатовекторних атак.
10. Кампанiя WRECKSTEEL проти державних органiв (березень 2025)
Дата: Березень 2025
Постраждалi: Державнi органи та органiзацiї критичної iнфраструктури
Викраденi данi: Документи, скрiншоти, системна iнформацiя з компрометованих робочих станцiй
Атрибуцiя: Пов'язанi з Росiєю загрози (вiдстежуються CERT-UA)
В однiй з останнiх кампанiй CERT-UA задокументував атаки з використанням шкiдливого ПЗ WRECKSTEEL, спрямованi на державнi системи. Зловмисники розповсюджували фiшинговi листи з посиланнями на легiтимнi сервiси (такi як DropMeFiles), якi доставляли VBS-завантажувач, що потiм розгортав PowerShell-стiлер. Шкiдливе ПЗ було призначене для ексфiльтрацiї документiв та захоплення скрiншотiв з компрометованих систем.
Ця кампанiя демонструє зростаючу витонченiсть атак на українську державну iнфраструктуру, поєднуючи соцiальну iнженерiю з багатоетапною доставкою шкiдливого ПЗ.
Повна картина: ландшафт витокiв України у цифрах
| Витiк / Iнцидент | Рiк | Кiлькiсть записiв | Тип даних |
|---|---|---|---|
| Атака на Київстар | 2023 | 24,3 млн абонентiв | Iнфраструктура / данi абонентiв |
| Атака на держреєстри | 2024 | 1 млрд+ рядкiв заявлено | Державнi записи, бiометрiя |
| Витiк Facebook | 2021 | 533 млн глобально | Iмена, телефони, email |
| Витiк LinkedIn | 2021 | 700 млн глобально | Професiйнi профiлi, контакти |
| Collection #1-5 | 2019 | 2,7 млрд пар email/пароль | Облiковi данi |
| Telegram-боти | 2020-2022 | ~20 млн українських записiв | Паспорти, IПН, банкiнг |
| База ПриватБанку | 2020-2024 | 40 млн заявлено | Банкiвськi, паспортнi данi |
| Витiк Adobe | 2013 | 153 млн глобально | Email, паролi |
| DDoS monobank | 2024 | 8+ млн порушено | Порушення сервiсу |
| Кампанiя WRECKSTEEL | 2025 | Державнi органи | Документи, скрiншоти |
Що робити прямо зараз
Якщо ви громадянин України або будь-хто, хто користувався українськими цифровими сервiсами, iмовiрнiсть того, що вашi данi були скомпрометованi хоча б в одному з цих витокiв, надзвичайно висока. Ось негайнi кроки:
- Перевiрте свою експозицiю. Скористайтесь iнструментами перевiрки витокiв, щоб дiзнатися, чи фiгурують вашi email, номер телефону або облiковi данi у вiдомих базах витокiв.
- Змiнiть повторюванi паролi негайно. Якщо ви використовуєте однаковий пароль на кiлькох сервiсах, змiнiть їх зараз. Використовуйте менеджер паролiв.
- Увiмкнiть двофакторну автентифiкацiю (2FA) на кожному акаунтi, що її пiдтримує — особливо пошта, банкiнг та державнi сервiси.
- Контролюйте банкiвськi рахунки на предмет несанкцiонованих транзакцiй. Увiмкнiть SMS/push-повiдомлення для кожної операцiї.
- Будьте надпильнi щодо фiшингу. Не вiдкривайте неочiкуванi вкладення, особливо запароленi архiви, що нiбито вiд банкiв або державних установ.
- Перевiрте доступ до Дiї та державних сервiсiв на предмет несанкцiонованої активностi.
Перевiрте чи вашi данi в цих витоках — безкоштовно
CyberPeople надає безкоштовний iнструмент перевiрки витокiв, який сканує вiдомi бази витокiв на наявнiсть ваших email-адрес та номерiв телефонiв. Дiзнайтесь, чи були вашi персональнi данi розкритi в будь-якому з цих великих iнцидентiв.
Джерела: CERT-UA, Microsoft Digital Defense Report 2024-2025, Українська правда, BleepingComputer, Cybernews, The Record, Have I Been Pwned, CSIS Significant Cyber Incidents.
Коментарі
Коментарів ще немає. Будьте першим!
Залишити коментар
Ваша електронна адреса не буде опублікована.