Масштабная утечка данных: 664 млн авиаперелетов россиян у украинских хакеров

Хакерская группировка из Украины сообщила о масштабной атаке на одну из ключевых российских информационных систем бронирования — Sirena-Travel. В результате взлома в руки противника попали сведения о перелётах россиян за 16 лет. Этот инцидент может стать самым масштабным эпизодом в истории России.

22 сентября 2023 года сообщество KibOrg заявило о компрометации базы системы бронирования Sirena-Travel. По их информации, связанная группировка Muppets получила доступ к двум массивам данных о пассажирских перевозках за период 2007-2023 годы.

Масштабы случившегося поражают воображение. Хакеры утверждают, что им удалось скопировать 3,4 миллиарда телефонных номеров и 664,5 миллиона записей о рейсах и билетах (istories.media). Это одна из крупнейших утечек персональных данных в истории России, подтвержденная как независимыми журналистами, так и официальными источниками, включая «Ростех».

Подлинность утечки была проверена несколькими способами. Сообщество KibOrg первым опубликовало информацию, затем её подтвердили расследователи «Важных историй» и команда Навального. Впоследствии новость появилась и в российских СМИ — например, Meduza (внесено Минюстом РФ в реестр СМИ-иноагентов) со ссылкой на Ростех сообщила о 664,6 миллионах записей о перелетах с 2007 по 2023 годы (meduza.io — признано минюстом иноагентом и нежелательной организацией на территории РФ).

Масштаб компрометации: 664 миллиона рейсов и 3,4 миллиарда телефонных номеров

По своим масштабам эта утечка является беспрецедентной для России. В базе данных содержится информация о 664,5 миллионах авиаперелетов – практически обо всех билетах, проданных в стране за последние 16 лет. К этим данным привязаны 3,4 миллиарда телефонных номеров пассажиров. Многие граждане представлены в системе не один раз, а общее число затронутых людей достигает десятков миллионов. Впервые в истории персональные данные авиапассажиров оказались в распоряжении противника. Согласно анализу слитой информации, она включает сведения как о простых гражданах, так и о высокопоставленных персонах. Для подтверждения реальности утечки хакеры опубликовали пробную выборку базы – около 3 миллионов записей. Подлинность этих данных уже проверили журналисты и независимые исследователи, обнаружив там немало примечательных примеров.

Примеры записей из скомпрометированной базы бронирования Sirena-Travel (с частично скрытыми персональными данными клиентов) демонстрируют, что система хранила все детали бронирования – от ФИО путешественника до данных об агентстве, реализовавшем билет, примененном тарифе и маршруте полета.

К примеру, команда «Важных историй» нашла в утекших данных информацию о перелетах бывшего министра иностранных дел Австрии Карин Кнайсль, которая перебралась в Россию летом 2023 года. Даты и направления ее рейсов (в частности, перелет Санкт-Петербург – Владивосток 10 сентября 2023 года) совпали с ее собственными публичными заявлениями, что подтвердило достоверность базы. Особенно громкий случай – в утечке оказались данные о недавнем рейсе Минск – Москва, совершенном предположительно лицом из близкого окружения президента – известной гимнасткой Алиной Кабаевой. Оппозиционный деятель Георгий Албуров сверил параметры этого рейса с доступными источниками и убедился в их совпадении. Таким образом, стали известны маршруты передвижения даже тех высокопоставленных лиц, которые предпочитают не разглашать информацию о своих поездках.

Более того, журналистское расследование «Новой газеты Европа» продемонстрировало, что в скомпрометированной базе содержится информация о десятках российских чиновников. Были найдены билеты на имена сенаторов и депутатов Государственной думы РФ. Например, в тестовой выгрузке обнаружились билеты нескольких парламентариев (Владислава Третьяка, Романа Водянова, Виталия Милонова, Татьяны Буцкой) с вылетом 10 сентября 2023 года из разных городов – эти билеты были оплачены ФГУП «Президент-Сервис» Управления делами президента. В той же пробной выборке оказались сведения о перелетах семьи Евгения Пригожина: его сын Павел и супруга Екатерина 10 сентября 2023 года прибыли бизнес-классом «Аэрофлота» из Санкт-Петербурга в Москву. Это произошло на следующий день после того, как 9 сентября было возбуждено дело о наследстве руководителя ЧВК «Вагнер» – довольно показательное совпадение. Таким образом, утечка затрагивает не только обычных граждан и VIP-персон, но и семьи влиятельных бизнесменов и представителей силовых структур.

Хакеры подчеркивают, что не намерены полностью публиковать базу в открытый доступ – очевидно, понимая её значимость и деликатность содержимого. По информации источника «Важных историй» в сообществе KibOrg, они передали всю базу в распоряжение Вооруженных сил Украины (ВСУ).

Угрозы безопасности: военные и чиновники под прицелом

Объем похищенной информации создает крайне серьезную опасность для государственной безопасности России. Сотрудники военных ведомств, работники спецслужб, командный состав армии – все эти категории лиц используют гражданскую авиацию для перемещений, и теперь их маршруты могут быть выявлены и проанализированы противником. Представители KibOrg открыто заявили, что полученная информация помогает находить сведения о россиянах, «в том числе [о тех, кто] любил летать за семьёй Навальных, чтобы их отравить». Фактически, оппоненты получили возможность проследить передвижения потенциальных оперативников российских спецслужб, выполнявших конфиденциальные поручения (например, как намекают хакеры, покушения или наблюдение за оппозиционерами). Имея данные о полетах, можно установить, кто, когда и куда совершал перелеты – включая период накануне громких происшествий. Это бесценные сведения для украинской разведки и спецслужб НАТО.

Опасность для физической безопасности высокопоставленных лиц. В случае попадания информации о перемещениях представителей власти (госслужащих, руководителей регионов, командующих военными подразделениями) к противнику, такие перемещения больше нельзя считать засекреченными. К примеру, известны эпизоды, когда украинские подразделения осуществляли удары по местам расположения российских генералов или чиновников в районе СВО. Теперь, располагая данными из авиабазы о том, куда и когда совершает перелет тот или иной генерал или высокопоставленный чиновник, противник может организовать диверсию, покушение или информационную атаку. Даже передвижение семей чиновников или предпринимателей за границу, если они зафиксированы в базе, может быть использовано для давления или шантажа.

Разоблачение тайных операций и логистических схем. Утечка может привести к раскрытию секретности множества операций. Например, доставка командированных военных групп рейсами гражданской авиации, транспортировка через третьи государства, секретные перелеты бизнес-джетами – все это теперь может стать достоянием общественности. Проанализировав 664 миллиона записей, возможно выявить нестандартные маршруты (к примеру, массовые перелеты в определенные даты из одного города, что может свидетельствовать о переброске людей), узнать, какие авиационные узлы применялись для переброски военных специалистов, а какие – для эвакуации семей чиновников за рубеж. Любые секреты, которые могли оставить след в авиабронированиях, теперь скомпрометированы.

Зарубежные уязвимости системы: роль Amber Aero и серверов за пределами РФ

Анализ причин произошедшего приводит к неудобным вопросам относительно местоположения и способов хранения данных Sirena-Travel. Выясняется, что существенная доля инфраструктуры данной системы могла находиться за границами России, что, вероятно, стало слабым звеном в системе безопасности. В открытых источниках обнаружен договор между дочерним подразделением Sirena-Travel и зарубежной фирмой: в декабре 2021 года Sirena-Travel GmbH (зарегистрированная в Германии) заключила соглашение с Amber Aero SIA из Латвии(11_ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). В 2023 году, уже 1 сентября 2023 (за три недели до выявления утечки), стороны оформили дополнительное соглашение о расширении сотрудничества. Согласно условиям контракта, Amber Aero взяла на себя обязательства по развертыванию и хостингу IT-ресурсов Sirena-Travel в зарубежных дата-центрах(11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). В документации прямо указано выполнение работ по размещению оборудования системы бронирования (системы «Leonardo») в европейских дата-центрах – конкретно упоминаются площадки компаний DEAC и Equinix.

Факт обслуживания стратегически важной базы данных, содержащей личную информацию миллионов россиян, при участии иностранного подрядчика и хранения (хотя бы частично) на серверах за рубежом вызывает серьёзные опасения. Не исключено, что эта «латвийская связка» сыграла ключевую роль во взломе. Службы безопасности, скорее всего, рассматривают версию получения хакерами доступа к данным именно через внешние каналы – коммуникационные узлы или серверы, расположенные за пределами России. Размещение части инфраструктуры в юрисдикции ЕС могло облегчить задачу украинским специалистам, предоставив им доступ через западные интернет-узлы или с помощью инсайдерской информации из страны размещения серверов. В условиях фактически текущей кибервойны подобная внешняя точка входа представляет собой неприемлемый риск.

Кроме того, возникает вопрос, почему отечественная система бронирования оказалась интегрирована с зарубежными компаниями. Возможно, это связано с недостатком собственного технологического опыта или стремлением обслуживать международные авиакомпании, но итог очевиден: Amber Aero согласно контракту выполняла настройку каналов передачи данных и хостинг, а в результате данные оказались скомпрометированы. В период 2021–2023 годов Sirena-Travel, как видно из документов, осуществляла модернизацию своей ИТ-инфраструктуры, подключая SITA-каналы (международная авиасвязь) через латвийского подрядчика(11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Вероятно, именно в этот период могла возникнуть критическая уязвимость. К примеру, при переносе данных в новый дата-центр или небрежной настройке сетевого шлюза могла образоваться брешь, которую и использовали Muppets. В любом случае, сама концепция хранения стратегических данных вне суверенного контроля оказалась ошибочной. Сейчас, задним числом, явно видно: все персональные данные российских пассажиров должны храниться только на российских, надёжно защищённых серверах. Любые иностранные элементы – будь то оборудование, программное обеспечение или подрядчики – недопустимы в таких проектах, как национальная система бронирования.

Владельцы «Сирена-Трэвел» и ответственность за утечку

Помимо технических и внешнеполитических аспектов, общественное внимание привлекла личность владельцев и руководителей Sirena-Travel. Как выяснилось, структура собственности компании достаточно сложная, а среди акционеров есть персоны с сомнительной репутацией. АО «Сирена-Трэвел» было основано еще в 2000 году и традиционно связано с гражданской авиацией. Согласно данным открытых источников, генеральным директором с 2002 года значится Михаил Баскаков (rusprofile.ru). Однако, согласно информации из телеграм-каналов, он фактически давно покинул Россию вместе с частью менеджмента. Ключевые акционеры компании, как утверждается, также проживают за рубежом. Возникает закономерный вопрос: кто на самом деле контролирует «Сирена-Трэвел» и почему эти люди не смогли защитить национальную базу данных от взлома?

Среди основных владельцев компании называют бизнесмена Ибрагима Амеевича Сулейманова и членов его семьи. Сулейманов И.А. известен как зять олигарха Платона Лебедева и ранее занимался вопросами безопасности бизнеса от рейдерских захватов. Его сын, Расул Сулейманов, также указан среди совладельцев компании. Согласно данным из базы Rusprofile, Ибрагим Сулейманов напрямую владеет около 16,5% акций АО «Сирена-Трэвел», а через сеть связанных фирм контролирует еще часть долей. Например, 5,2% акций зарегистрировано на ООО «Кортэкс Трейн», которое связано с ним же. Эта запутанная схема владения вызвала подозрения в том, что реальные бенефициары пытаются скрыться за цепочкой компаний. Помимо семьи Сулеймановых, в «элитный» состав акционеров входит, по данным инсайдеров, некий Артур Татевосович Суринов – как утверждается, сын осужденного криминального авторитета, причастного к рейдерским захватам бизнеса в 90-е годы. Если это так, то получается, что стратегически важным объектом руководят люди с криминальными связями. В телеграм-каналах уже открыто задаются вопросом: почему системно значимая компания оказалась в руках таких персонажей?

Стоит отметить, что «Sirena-Travel» официально признана объектом критически важной информационной инфраструктуры (КИИ) России. Законодательство требует, чтобы подобные стратегические предприятия находились под контролем надежных отечественных структур без участия иностранцев и сомнительных лиц. Однако ситуация вокруг акционеров Sirena-Travel вызывает у экспертов шок: «структура акционеров – темный лес… для “Sirena Travel” законы не писаны», пишут информаторы. Наличие в руководстве компании лиц с потенциально криминальным прошлым или зарубежными интересами – это «бомба замедленного действия». Еще до текущей утечки специалисты предупреждали, что такие связи могут привести к кибератакам и утечкам данных. Похоже, так и произошло. Сейчас особенно остро стоит вопрос: кто допустил такую ситуацию и почему регуляторы не проконтролировали ее заранее? Государство объявило курс на импортозамещение и цифровой суверенитет, но на практике важнейшая база данных оказалась под управлением людей, чья надежность вызывает сомнения. Возможно, пора разобраться не только с хакерами, но и с теми, кто «дал добро на это безобразие» – возможно, не без личной выгоды в виде откатов, как недвусмысленно намекают разоблачители.

Судебное подтверждение хакерской атаки: официальная реакция властей

Масштаб произошедшего подтверждается тем, что ситуация стала предметом расследования правоохранительных органов. В начале 2024 года было возбуждено уголовное дело по факту взлома Sirena-Travel, и московский суд определил меры пресечения для подозреваемых. В апреле того же года Хорошевский районный суд столицы изучил материалы дела и установил факт осуществления «масштабной кибератаки, парализовавшей работу системы бронирования». Таким образом, компетентные органы официально классифицировали произошедшее как внешнее вторжение, исключив вероятность технической неисправности. Под следствием оказались двое высших руководителей АО «Сирена-Трэвел», включая заместителя гендиректора А. Кальчука. Ему предъявили обвинение и назначили домашний арест с определенными ограничениями до 4 июня 2024 года. Следствие настаивало на заключении под стражу, считая характер нарушений чрезвычайно серьезным. В отношении другого топ-менеджера компании также приняты аналогичные меры. Данное решение стало беспрецедентным случаем: руководители стратегически важной IT-компании привлечены к уголовной ответственности с возможным наказанием в виде лишения свободы сроком от 5 до 10 лет. Такая жесткая позиция властей демонстрирует крайнюю степень озабоченности произошедшим.

Правовые документы и комментарии представителей следствия указывают на уязвимость системы бронирования Leonardo/Sirena, которую российские авиаперевозчики выбрали для реализации программы импортозамещения. Это вызывает вопросы о ее защищенности. Постановление Хорошевского суда фактически констатирует: конфиденциальная информация действительно попала в руки злоумышленников, а система безопасности не выдержала испытания. Результатом расследования могут стать существенные изменения – от перестановок в руководящем составе компании и отрасли в целом до усиления государственного надзора за подобными организациями.

Итоговые выводы:  обеспечение безопасности данных как обязанность 

Компрометация базы Sirena-Travel стала серьезным уроком для общества. Противник получил эффективный инструмент информационной борьбы – личные данные миллионов граждан России и детальную информацию о перемещениях внутри страны и за рубежом за последние 15 лет. В сложившейся ситуации геополитической напряженности подобные утечки абсолютно неприемлемы. Они наносят ущерб национальной безопасности, создают угрозу для жизни и деятельности государственных деятелей и простых граждан. Следовательно, сейчас особенно актуален вопрос патриотического контроля за критической цифровой инфраструктурой государства.

Прежде всего, все базы данных типа Sirena-Travel необходимо немедленно переместить на защищенные серверы, находящиеся под юрисдикцией Российской Федерации. Необходимо исключить использование «облачных» сервисов зарубежом, латвийских и других иностранных хостингов – только собственные центры обработки информации, сертифицированные ФСТЭК и ФСБ. При необходимости следует выделить государственные средства, инвестировать в оборудование, но обязательно хранить данные на территории страны. Мы понимаем последствия ошибки: один промах – и персональная информация оказывается у оппонентов.

Во-вторых, требуется детальное изучение всех обстоятельств взлома. Расследование уже проводится, однако граждане имеют право знать конкретных виновных. Недостаточно обвинить зарубежных хакеров – нужно проверить, не было ли внутреннего пренебрежения обязанностями или предательства. Возможно, кто-то из сотрудников помог противнику или продал доступ – эти факты необходимо раскрыть и обнародовать. Все причастные к утечке – будь то системные администраторы, руководители или акционеры, игнорировавшие меры безопасности, – должны понести заслуженное наказание согласно закону.

В-третьих, необходимы соответствующие кадровые решения и наказание ответственных лиц. Если подтвердится, что высшее руководство Sirena-Travel проявило небрежность или поставило прибыль выше безопасности, эти люди не должны продолжать занимать свои должности. Кроме того, показательное наказание (реальные сроки лишения свободы, крупные штрафы) послужит примером для всех других участников отрасли: персональные данные граждан – это святое, и их утечка будет караться без исключений. Только таким образом удастся предотвратить повторение подобных случаев.

Наконец, обществу требуется открытый контроль за цифровой безопасностью. Необходимо добиться регулярных проверок состояния защиты критических баз данных профильными организациями (Минцифры, Роскомнадзор, ФСТЭК), а результаты этих проверок должны быть доступны общественности. Патриотические общественные объединения могли бы принять участие в мониторинге – аналогично народному фронту, который следит за оборонной отраслью. Безразличие и сокрытие проблем неприемлемы: как показала эта утечка, там, где молчат регуляторы, потом говорят враги.

В качестве заключения. Ситуация с взломом Sirena-Travel – тревожный сигнал, но также и повод усилить нашу киберзащиту. Россия располагает достаточными интеллектуальными и техническими возможностями для обеспечения безопасности своих данных. Вспомним, что авиационная система «Сирена» была разработана еще в СССР и долгое время успешно служила стране. Наша задача – сохранить и защитить это наследие. Не допустим больше, чтобы конфиденциальная информация о перемещениях россиян попадала в руки противников. Защита персональных данных – составляющая национального суверенитета, и каждый патриот должен стоять на страже этого цифрового рубежа.