"Аэрофлот" не успел устранить все последствия хакерской атаки
28 июля на ПАО "Аэрофлот" обрушилась крупная атака хакеров, которая вывела из строя всю ИТ-инфраструктуру компании. Но уже 30 июля "Аэрофлот" сообщил о полном восстановлении работы после сбоя ИТ-систем. Однако программа "Аэрофлот Бонус" по состоянию на 7 августа по-прежнему не работает. Пользователи не могут зайти в личный кабинет и воспользоваться возможностями программы.
https://www.comnews.ru/content/240411/2025-07-29/2025-w31/1007/khakery-vzlomali-aeroflot
В официальной группе "Аэрофлота" в социальной сети "ВКонтакте" пользователи жалуются, указывая на проблему входа в личный кабинет, на что получают в ответ от компании сообщения о проведении регламентных работ. То же самое заявление "Аэрофлот" опубликовал в Telegram-канале пресс-службы авиакомпании 5 августа.
"В настоящее время доступ к личному кабинету программы "Аэрофлот Бонус" временно ограничен в связи с проведением технических работ. Все данные участников сохранены в полном объеме, потери информации не произошло. Возможность оформления премиальных авиабилетов, а также начисления миль за перелеты, покупки и услуги банков-партнеров участникам программы будет доступна после завершения регламентных работ, о чем мы сообщим дополнительно. Мы прилагаем все усилия для восстановления работы системы в кратчайшие сроки", - говорится в сообщении авиакомпании.
"Ситуации, когда после кибератаки сохраняются ограничения в работе отдельных сервисов компании, - это абсолютно нормальная практика. Даже если компания официально сообщает о восстановлении ИТ-инфраструктуры в целом, это не означает, что все сервисы работают в прежнем объеме. Сервисы, которые были затронуты атакой, по техническим причинам не всегда могут быстро и безопасно вернуться в строй. Поэтому вполне возможно, что текущие технические работы - это не только плановое восстановление, но и доработка мер защиты конкретных сервисов внутри большой инфраструктуры. Такой подход точно не проявление слабости, а наоборот, осознанное действие, направленное на снижение рисков. Безопасный запуск системы после инцидента всегда требует времени и аккуратности с принятием решений", - рассказал корреспонденту ComNews коммерческий директор ООО "АйТи Таск" (IT Task) Антон Головатый.
Однако директор департамента расследований ООО "Ти Хантер" (T.Hunter) Игорь Бедеров предположил, что проблема может крыться в устранении последствий хакерской атаки: "Официальная позиция "Аэрофлота" заключается в том, что доступ к личному кабинету ограничен из-за плановых технических работ, а данные пользователей сохранены в полном объеме. Однако отмечается, что система перестала работать именно после атаки, а не из-за плановых работ. Можно предположить, что "технические работы" - это попытка минимизировать негативный PR, тогда как реальная причина - устранение последствий атаки".
Генеральный директор ООО "Фишман" (Phishman) Алексей Горелкин согласился с версией о восстановлении системы после хакерской атаки: "Проведение технических работ", наиболее вероятно, связано с одним из трех вариантов. Первый вариант - попытка восстановить уничтоженные данные с помощью информации от партнеров, в том числе банков, чтобы всем пользователям правильно начислить мили и прочие привилегии. Второй вариант - компания смогла восстановить часть информации из бэкапа, но теперь ее надо "подружить" с антифрод-системой - это система, которая не дает злоупотреблять "милями" и прочими привилегиями. Третий вариант - это смесь изложенных выше вариантов. На основе информации о предыдущих и последующих атаках злоумышленники добрались до бэкапов и уничтожили данные. Например, "Винлаб" до сих пор не может восстановить работу бонусной программы. Проще говоря, "Аэрофлот" явно пытается вернуть к жизни дополнительные сервисы для пассажиров, к которым относятся бонусная программа, мобильное приложение и личный кабинет".
Как следует из данных портала госзакупок (zakupki.gov.ru), огромное количество ИТ-тендеров "Аэрофлота" в прошлом выиграло АО "Рамакс Интернейшнл" ("Рамакс"). В том числе интегратор "Рамакс" среди многочисленных выигранных тендеров получил от национального авиаперевозчика несколько заказов, связанных с сервисами, которые компания до сих пор не смогла восстановить, включая и личный кабинет на сайте "Аэрофлота" и в мобильном приложении, а также сервис "Аэрофлот Бонус".
"Любая монополизация снижает мотивацию к инновациям и оперативному устранению слабых мест. Хотя прямых доказательств связи между уязвимостями и вендором в результатах нет, концентрация контрактов у одного поставщика создает определенные системные риски. Для будущей безопасности "Аэрофлоту" стоит диверсифицировать вендоров и усилить независимый аудит", - считает Игорь Бедеров.
12 декабря 2018 г. "Рамакс Интернейшнл" оказался единственным участником конкурса на внедрение технологии двухфакторной аутентификации в личном кабинете участника программы "Аэрофлот Бонус" на сайте и в мобильных приложениях ПАО "Аэрофлот". "Рамакс" получил этот заказ за 27,78 млн руб. (здесь и далее - с учетом НДС).
15 февраля 2019 г. "Рамакс Интернейшнл" назван победителем закупки "Оказание услуг по технической поддержке и доработке мобильных приложений для пассажиров ПАО "Аэрофлот". В этом конкурсе был еще один участник - ООО "МФМ Технологии", но контракт на 58,99 млн руб. получил "Рамакс" (его цена оказалась на 324 тыс. руб. меньше, чем предложил соперник).
3 апреля 2019 г. "Рамакс Интернейшнл" получил заказ на техническую поддержку систем защиты персональных данных внешнего сайта ПАО "Аэрофлот" и платформы Sabre IX. За эту работу он получил 7,308 млн руб., но не в качестве победителя тендера, а как единственный участник этой закупки.
17 апреля 2019 г. "Аэрофлот" назвал "Рамакс Интернейшнл" победителем в конкурсе на обновление дизайна раздела "Аэрофлот Бонус" (сумма контракта - 17,6 млн руб.), а 17 мая 2019 г. - на выполнение работ по обновлению дизайна личного кабинета программы "Аэрофлот Бонус" (сумма контракта - 81,96 млн руб.) В обоих случаях "Аэрофлот" выбрал "Рамакс Интернейшнл" из четырех претендентов (на оба контракта также претендовали ООО "Крастком", ООО "Иннодата" и ООО "МФМ Технологии").
"В целом на уровень защищенности не влияет тот, кто осуществлял поставку. Намного важнее - какие процессы информационной безопасности были в "Аэрофлоте", как они соблюдались, как именно были настроены поставляемые инструменты информационной безопасности и как обстояли дела с киберкультурой в компании. Но при этом госзакупки при своей прозрачности могут "помогать" злоумышленникам в подготовке к атаке на организации, так как хакеры будут знать, какое именно ПО или оборудование поставлено, и уже подготавливать атаку на конкретный набор инструментов. Также мы замечали случаи, когда хакеры атаковали компанию-поставщика - с использованием социальной инженерии, - чтобы выявить настройки безопасности другой компании, которой осуществлялась поставка", - отметил Алексей Горелкин.
