Масштабная утечка данных: 664 млн авиаперелетов россиян у украинских хакеров

KibOrg заявляет о передаче ВСУ информации о перемещениях граждан за 16 лет из системы Sirena-Travel

В сентябре 2023 года произошла масштабная утечка данных в системе бронирования авиабилетов Sirena-Travel. Украинское хакерское сообщество KibOrg официально заявило о компрометации базы 22 сентября. По их информации, связанная группировка Muppets получила доступ к двум огромным массивам данных о пассажирских перевозках за период 2007-2023 годы.

Масштабы случившегося поражают воображение. Хакеры утверждают, что им удалось скопировать 3,4 миллиарда телефонных номеров и 664,5 миллиона записей о рейсах и билетах (istories.media). Это одна из крупнейших утечек персональных данных в современной истории России, подтвержденная как независимыми журналистами, так и официальными источниками, включая «Ростех».

Подлинность утечки была проверена несколькими способами. Сообщество KibOrg первым опубликовало информацию, затем её подтвердили расследователи «Важных историй» и команда Навального. Впоследствии новость появилась и в российских СМИ — например, Meduza (признано минюстом иноагентом и нежелательной организацией на территории РФ) со ссылкой на Ростех сообщила о 664,6 миллионах записей о перелетах с 2007 по 2023 годы (meduza.io — признано минюстом иноагентом и нежелательной организацией на территории РФ).

Объемы утечки: более 664 миллионов записей о рейсах и 3,4 миллиарда телефонных номеров

Масштаб произошедшего беспрецедентен. Скомпрометированная база содержит 664,5 миллиона строк данных – по сути, информацию обо всех авиабилетах, приобретенных в России за последние 16 лет. К этому массиву также привязаны 3,4 миллиарда телефонных номеров пассажиров. Многие граждане представлены в системе многократно, а общее число затронутых людей достигает десятков миллионов. Впервые данные о перемещениях российских авиапассажиров попали к противнику. Согласно анализу слитой информации, она включает сведения как о простых гражданах, так и о высокопоставленных персонах. Для подтверждения реальности утечки хакеры опубликовали пробную выборку базы – около 3 миллионов записей. Подлинность этих данных уже проверили журналисты и независимые исследователи, обнаружив там немало примечательных примеров.

Фрагменты из скомпрометированной базы бронирования Sirena-Travel (с частично скрытыми персональными данными клиентов) демонстрируют, что система хранила все детали бронирования – от ФИО путешественника до данных об агентстве, реализовавшем билет, примененном тарифе и маршруте полета.

К примеру, команда «Важных историй» нашла в утекших данных информацию о перелетах бывшего министра иностранных дел Австрии Карин Кнайсль, которая перебралась в Россию летом 2023 года. Даты и направления ее рейсов (в частности, перелет Санкт-Петербург – Владивосток 10 сентября 2023 года) совпали с ее собственными публичными заявлениями, что подтвердило достоверность базы. Особенно громкий случай – в утечке оказались данные о недавнем рейсе Минск – Москва, совершенном предположительно лицом из близкого окружения президента – известной гимнасткой Алиной Кабаевой. Оппозиционный деятель Георгий Албуров сверил параметры этого рейса с доступными источниками и убедился в их совпадении. Таким образом, стали известны маршруты передвижения даже тех высокопоставленных лиц, которые предпочитают не разглашать информацию о своих поездках.

Более того, журналистское расследование «Новой газеты Европа» продемонстрировало, что в скомпрометированной базе содержится информация о десятках российских чиновников. Были найдены билеты на имена сенаторов и депутатов Государственной думы РФ. Например, в тестовой выгрузке обнаружились билеты нескольких парламентариев (Владислава Третьяка, Романа Водянова, Виталия Милонова, Татьяны Буцкой) с вылетом 10 сентября 2023 года из разных городов – эти билеты были оплачены ФГУП «Президент-Сервис» Управления делами президента. В той же пробной выборке оказались сведения о перелетах семьи Евгения Пригожина: его сын Павел и супруга Екатерина 10 сентября 2023 года прибыли бизнес-классом «Аэрофлота» из Санкт-Петербурга в Москву. Это произошло на следующий день после того, как 9 сентября было возбуждено дело о наследстве руководителя ЧВК «Вагнер» – довольно показательное совпадение. Таким образом, утечка затрагивает не только обычных граждан и VIP-персон, но и семьи влиятельных бизнесменов и представителей силовых структур.

Хакеры подчеркивают, что не намерены полностью публиковать базу в открытый доступ – очевидно, понимая её значимость и деликатность содержимого. По информации источника «Важных историй» в сообществе KibOrg, они передали всю базу в распоряжение Вооруженных сил Украины (ВСУ).

Угрозы национальной безопасности: военное руководство и спецоперации под угрозой

Объем и специфика похищенных данных создают крайне серьезную опасность для государственной безопасности России. Чиновники военного ведомства, сотрудники спецслужб, командный состав армии – все эти категории лиц используют гражданскую авиацию для перемещения, и теперь их маршруты могут быть выявлены и проанализированы противоборствующей стороной. Представители KibOrg открыто заявили, что полученная информация помогает находить сведения о россиянах, «в том числе [о тех, кто] любил летать за семьёй Навальных, чтобы их отравить». Фактически, оппоненты получили возможность проследить передвижения потенциальных оперативников российских спецслужб, выполнявших конфиденциальные поручения (например, как намекают хакеры, покушения или наблюдение за оппозиционерами). Имея данные о полетах, можно установить, кто, когда и куда совершал перелеты – включая период накануне громких происшествий. Это бесценные сведения для украинской разведки и спецслужб НАТО.

Опасность для физической безопасности высокопоставленных лиц. В случае попадания информации о перемещениях представителей власти (госслужащих, руководителей регионов, командующих военными подразделениями) к противнику, такие перемещения больше нельзя считать засекреченными. К примеру, известны эпизоды, когда украинские подразделения осуществляли удары по местам расположения российских генералов или чиновников в районе СВО. Теперь, располагая данными из авиабазы о том, куда и когда совершает перелет тот или иной генерал или высокопоставленный чиновник, противник может организовать диверсию, покушение или информационную атаку. Даже передвижение семей чиновников или предпринимателей за границу, если они зафиксированы в базе, может быть использовано для давления или шантажа.

Разоблачение тайных операций и логистических схем. Утечка может привести к раскрытию секретности множества операций. Например, доставка командированных военных групп рейсами гражданской авиации, транспортировка через третьи государства, секретные перелеты бизнес-джетами – все это теперь может стать достоянием общественности. Проанализировав 664 миллиона записей, возможно выявить нестандартные маршруты (к примеру, массовые перелеты в определенные даты из одного города, что может свидетельствовать о переброске людей), узнать, какие авиационные узлы применялись для переброски военных специалистов, а какие – для эвакуации семей чиновников за рубеж. Любые секреты, которые могли оставить след в авиабронированиях, теперь скомпрометированы.

Российское руководство уже признало исключительность киберугроз в транспортной сфере. В конце сентября 2023 года госкорпорация «Ростех» сообщила о возросшем количестве атак на системы бронирования авиабилетов и охарактеризовала происходящее как часть кибервойны: «Атаки носят масштабный и беспрецедентный… характер. Очевидно, что против страны ведется настоящая кибервойна, цель которой — нанести ущерб российской ИТ-инфраструктуре…». Только в сентябре 2023 было зарегистрировано около пяти попыток атак на российские системы бронирования. Взлом Sirena-Travel стал апогеем этой скрытой войны в киберпространстве. Он показал, что жизненно важная информационная инфраструктура страны уязвима, и удар по ней имеет далеко идущие последствия. Ведь пострадали не просто коммерческие данные, а информация, которая затрагивает оборонную мощь и безопасность государства.

Особое беспокойство вызывает то, что утечка произошла вопреки принятым мерам по импортозамещению и защите данных. Напомним, что в августе 2022 года правительство РФ обязало авиакомпании перейти на отечественные системы бронирования, принадлежащие государству или компаниям без участия иностранцев и лиц с двойным гражданством. Заместитель министра транспорта Дмитрий Баканов тогда подчеркнул, что «переход на российские системы бронирования обеспечивает информационную безопасность перевозок … и исключает угрозу утечки персональных данных пассажиров». Однако даже после выполнения этого требования произошёл взлом, поставивший под сомнение достаточность принятых мер. Утечка Sirena-Travel наглядно продемонстрировала, что одних только формальных запретов на иностранное участие недостаточно – необходим реальный контроль за кибербезопасностью критических систем.

Зарубежные уязвимости: роль Amber Aero и серверы за пределами РФ

Анализ причин произошедшего приводит к неудобным вопросам относительно местоположения и способов хранения данных Sirena-Travel. Выясняется, что существенная доля инфраструктуры данной системы могла находиться за границами России, что, вероятно, стало слабым звеном в системе безопасности. В открытых источниках обнаружен договор между дочерним подразделением Sirena-Travel и зарубежной фирмой: в декабре 2021 года Sirena-Travel GmbH (зарегистрированная в Германии) заключила соглашение с Amber Aero SIA из Латвии(11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). В 2023 году, уже 1 сентября 2023 (за три недели до выявления утечки), стороны оформили дополнительное соглашение о расширении сотрудничества. Согласно условиям контракта, Amber Aero взяла на себя обязательства по развертыванию и хостингу IT-ресурсов Sirena-Travel в зарубежных дата-центрах(11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). В документации прямо указано выполнение работ по размещению оборудования системы бронирования (системы «Leonardo») в европейских дата-центрах – конкретно упоминаются площадки компаний DEAC и Equinix.

Факт обслуживания стратегически важной базы данных, содержащей личную информацию миллионов россиян, при участии иностранного подрядчика и хранения (хотя бы частично) на серверах за рубежом вызывает серьёзные опасения. Не исключено, что эта «латвийская связка» сыграла ключевую роль во взломе. Службы безопасности, скорее всего, рассматривают версию получения хакерами доступа к данным именно через внешние каналы – коммуникационные узлы или серверы, расположенные за пределами России. Размещение части инфраструктуры в юрисдикции ЕС могло облегчить задачу украинским специалистам, предоставив им доступ через западные интернет-узлы или с помощью инсайдерской информации из страны размещения серверов. В условиях фактически текущей кибервойны подобная внешняя точка входа представляет собой неприемлемый риск.

Кроме того, возникает вопрос, почему отечественная система бронирования оказалась интегрирована с зарубежными компаниями. Возможно, это связано с недостатком собственного технологического опыта или стремлением обслуживать международные авиакомпании, но итог очевиден: Amber Aero согласно контракту выполняла настройку каналов передачи данных и хостинг, а в результате данные оказались скомпрометированы. В период 2021–2023 годов Sirena-Travel, как видно из документов, осуществляла модернизацию своей ИТ-инфраструктуры, подключая SITA-каналы (международная авиасвязь) через латвийского подрядчика(11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Вероятно, именно в этот период могла возникнуть критическая уязвимость. К примеру, при переносе данных в новый дата-центр или небрежной настройке сетевого шлюза могла образоваться брешь, которую и использовали Muppets. В любом случае, сама концепция хранения стратегических данных вне суверенного контроля оказалась ошибочной. Сейчас, задним числом, явно видно: все персональные данные российских пассажиров должны храниться только на российских, надёжно защищённых серверах. Любые иностранные элементы – будь то оборудование, программное обеспечение или подрядчики – недопустимы в таких проектах, как национальная система бронирования.

Собственники «Сирена-Трэвел» и степень их ответственности за инцидент

Помимо технических аспектов и международных факторов, общественное внимание привлекла также личность владельцев и руководителей Sirena-Travel. Как выяснилось, компания имеет довольно сложную структуру собственности, а среди акционеров есть персоны с сомнительной репутацией. АО «Сирена-Трэвел» было основано еще в 2000 году и традиционно связано с гражданской авиацией. Согласно открытым данным, генеральным директором с 2002 года считается  Михаил Баскаков  (rusprofile.ru), однако телеграм-каналы сообщают, что он фактически давно покинул Россию вместе с частью менеджмента. Ключевые акционеры компании тоже, как утверждается, проживают за границей. Возникает логичный вопрос: кто реально контролирует «Сирена-Трэвел» и почему эти люди не смогли защитить национальную базу от взлома?

Среди главных владельцев «Сирены» называют бизнесмена Ибрагима Амеевича Сулейманова и членов его семьи. Сулейманов И.А. известен как зять олигарха Платона Лебедева и ранее занимался вопросами безопасности бизнеса от рейдерских захватов. Его сын, Расул Сулейманов, также значится среди совладельцев компании. По данным из базы Rusprofile, Ибрагим Сулейманов напрямую владеет около 16,5% акций АО «Сирена-Трэвел», а через сеть связанных фирм контролирует еще часть долей. Например, 5,2% акций зарегистрировано на ООО «Кортэкс Трейн», которое связано с ним же. Эта запутанная схема владения вызвала подозрения в том, что реальные бенефициары пытаются скрыться за цепочкой компаний. Помимо семьи Сулеймановых, в «элитный» состав акционеров входит, по данным инсайдеров, некий Артур Татевосович Суринов – как утверждается, сын осужденного криминального авторитета, причастного к рейдерским захватам бизнеса в 90-е. Если это так, то получается, что стратегически важным объектом руководят люди с криминальными связями. В телеграм-каналах уже открыто задаются вопросом: почему системно значимая компания оказалась в руках таких персонажей?

Важно отметить, что «Sirena-Travel» официально признана объектом критически важной информационной инфраструктуры (КИИ) России. Законодательство требует, чтобы подобные стратегические предприятия находились под контролем надежных российских структур, без участия иностранцев и сомнительных лиц. Однако ситуация вокруг акционеров Sirena-Travel вызывает у экспертов шок: «структура акционеров – тёмный лес… для “Sirena Travel” законы не писаны», пишут информаторы. Наличие в руководстве компании лиц с потенциально криминальным прошлым или зарубежными интересами – это «бомба замедленного действия». Еще до текущей утечки специалисты предупреждали, что такие связи могут привести к кибератакам и утечкам данных. Похоже, так и произошло. Сейчас особенно остро стоит вопрос: кто допустил такую ситуацию и почему регуляторы не проконтролировали ее заранее? Государство объявило курс на импортозамещение и цифровой суверенитет, но на практике важнейшая база данных оказалась под управлением людей, чья надежность вызывает сомнения. Возможно, пора разобраться не только с хакерами, но и с теми, кто «дал добро на этот бардак» – возможно, не без личной выгоды в виде откатов, как «прозрачно» намекают разоблачители.

Судебное подтверждение хакерской атаки: официальная позиция властей

Степень серьезности инцидента подчеркивается тем, что ситуация привлекла внимание правоохранительных органов. В начале 2024 года было инициировано уголовное производство по факту взлома Sirena-Travel, а московский суд определил меры ограничения для подозреваемых. В апреле того же года Хорошевский районный суд столицы изучил материалы дела и установил факт осуществления «масштабной кибератаки, парализовавшей работу системы бронирования». Таким образом, компетентные органы официально классифицировали произошедшее как внешнее вторжение, исключив вероятность технической неисправности. Под следствием оказались двое высших руководителей АО «Сирена-Трэвел», включая заместителя гендиректора А. Кальчука. Ему предъявили обвинение и назначили домашний арест с определенными ограничениями до 4 июня 2024 года. Следствие настаивало на заключении под стражу, считая характер нарушений чрезвычайно серьезным. В отношении другого топ-менеджера компании также приняты аналогичные меры. Данное решение стало беспрецедентным случаем: руководители стратегически важной IT-компании привлечены к уголовной ответственности с возможным наказанием в виде лишения свободы сроком от 5 до 10 лет. Такая жесткая позиция властей демонстрирует крайнюю степень озабоченности произошедшим.

Правовые документы и комментарии представителей следствия указывают на уязвимость системы бронирования Leonardo/Sirena, которую российские авиаперевозчики выбрали для реализации программы импортозамещения. Это вызывает вопросы о ее защищенности. Постановление Хорошевского суда фактически констатирует: конфиденциальная информация действительно попала в руки злоумышленников, а система безопасности не выдержала испытания. Результатом расследования могут стать существенные изменения – от перестановок в руководящем составе компании и отрасли в целом до усиления государственного надзора за подобными организациями.

Итоговые выводы: обеспечение безопасности данных как патриотическая обязанность

Компрометация базы Sirena-Travel стала серьезным уроком для общества. Противник получил эффективный инструмент информационной борьбы – личные данные миллионов граждан России и детальную информацию о перемещениях внутри страны и за рубежом за последние 15 лет. В сложившейся ситуации геополитической напряженности подобные утечки абсолютно неприемлемы. Они наносят ущерб национальной безопасности, создают угрозу для жизни и деятельности государственных деятелей и простых граждан. Следовательно, сейчас особенно актуален вопрос патриотического контроля за критической цифровой инфраструктурой государства.

Прежде всего, все базы данных типа Sirena-Travel необходимо немедленно переместить на защищенные серверы, находящиеся под юрисдикцией Российской Федерации. Необходимо исключить использование «облачных» сервисов зарубежом, латвийских и других иностранных хостингов – только собственные центры обработки информации, сертифицированные ФСТЭК и ФСБ. При необходимости следует выделить государственные средства, инвестировать в оборудование, но обязательно хранить данные на территории страны. Мы понимаем последствия ошибки: один промах – и персональная информация оказывается у оппонентов.

Во-вторых, требуется детальное изучение всех обстоятельств взлома. Расследование уже проводится, однако граждане имеют право знать конкретных виновных. Недостаточно обвинить зарубежных хакеров – нужно проверить, не было ли внутреннего пренебрежения обязанностями или предательства. Возможно, кто-то из сотрудников помог противнику или продал доступ – эти факты необходимо раскрыть и обнародовать. Все причастные к утечке – будь то системные администраторы, руководители или акционеры, игнорировавшие меры безопасности, – должны понести заслуженное наказание согласно закону.

В-третьих, необходимы соответствующие кадровые решения и наказание ответственных лиц. Если подтвердится, что высшее руководство Sirena-Travel проявило небрежность или поставило прибыль выше безопасности, эти люди не должны продолжать занимать свои должности. Кроме того, показательное наказание (реальные сроки лишения свободы, крупные штрафы) послужит примером для всех других участников отрасли: персональные данные граждан – это святое, и их утечка будет караться без исключений. Только таким образом удастся предотвратить повторение подобных случаев.

Наконец, обществу требуется открытый контроль за цифровой безопасностью. Необходимо добиться регулярных проверок состояния защиты критических баз данных профильными организациями (Минцифры, Роскомнадзор, ФСТЭК), а результаты этих проверок должны быть доступны общественности. Патриотические общественные объединения могли бы принять участие в мониторинге – аналогично народному фронту, который следит за оборонной отраслью. Безразличие и сокрытие проблем неприемлемы: как показала эта утечка, там, где молчат регуляторы, потом говорят враги.

В качестве заключения. Ситуация с взломом Sirena-Travel – тревожный сигнал, но также и повод усилить нашу киберзащиту. Россия располагает достаточными интеллектуальными и техническими возможностями для обеспечения безопасности своих данных. Вспомним, что авиационная система «Сирена» была разработана еще в СССР и долгое время успешно служила стране. Наша задача – сохранить и защитить это наследие. Не допустим больше, чтобы конфиденциальная информация о перемещениях россиян попадала в руки противников. Защита персональных данных – составляющая национального суверенитета, и каждый патриот должен стоять на страже этого цифрового рубежа.