Хакерская атака на Аэрофлот: как интернет отреагировал на сбой в работе перевозчика

В конце июля 2025 года крупнейший российский авиаперевозчик столкнулся с масштабным сбоем информационной системы. Ответственность за неполадки в сервисах «Аэрофлота» взяли на себя хакерские группировки. Инцидент широко обсуждался в сети и затронул свыше 57 млн пользователей. Мы проанализировали цифровую активность, связанную со сбоем, чтобы понять, кто и как комментировал взлом.  

Как развивались события

27 июля. В 10:52 по Москве появляются первые сообщения о проблемах в работе сервисов «Аэрофлот». Люди не могут зайти в мобильное приложение и дозвониться на горячую линию перевозчика. 

Телеграм-канал «Дешевые билеты из Москвы» первым публикует пост о сбоях в приложении «Аэрофлота»

28 июля. В социальных сетях компании выходит официальное сообщение о неполадках в IT-инфраструктуре. Свыше 50 пар рейсов отменяется и переносится на другие даты. Пассажиров предупреждают, что они могут вернуть деньги или переоформить билеты в следующие 10 дней.

Тон сообщения сдержанный: «Аэрофлот» подтверждает сбой, рассказывает о принятых мерах и сообщает, что последствия уже устраняются

Через несколько часов хакерские группировки Silent Crow и «Киберпартизаны BY» заявляют, что взлом – результат их действий. По словам хакеров, атака готовилась больше года, и в итоге им удалось похитить больше 20 Тб данных о перелетах. В сообщении говорится, что внутренняя IT-инфраструктура компании полностью скомпрометирована и уничтожена. 

«Аэрофлот» не комментирует новости о злоумышленниках. Перевозчик продолжает публиковать изменения в расписании и давать инструкции тем, кто пострадал из-за отмены рейсов. Официальных данных о масштабах сбоя нет. 

Генеральная прокуратура возбуждает уголовное дело по статье о неправомерном доступе к компьютерной информации. 

29–30 июля. «Аэрофлот» возвращается к штатному расписанию полетов и сообщает об этом в социальных сетях. Новость подтверждает Минтранс РФ. 

По состоянию на 8 августа личный кабинет на сайте перевозчика по-прежнему недоступен из-за плановых технических работ. Часть экспертов полагает, что это связано с устранением последствий атаки либо усилением контура безопасности. 

Что происходило в инфополе

Сбой вызвал сильный отклик у русскоязычной аудитории. Всего за период с 27 по 29 июля было опубликовано 207,5 тысяч сообщений. Из них 24,4 тысячи постов были посвящены хакерской атаке. Еще 164,9 тысяч заняли комментарии к постам. Оставшуюся долю составляли репосты – 7,8 тысяч и публикации в СМИ – 8,6 тысяч. Инфоповод собрал свыше 57, 8 млн охвата, а материалы по теме увидели 178 млн человек.

Пик обсуждений пришелся на 28 июля – после выхода официального комментария «Аэрофлота»

Кто и где писал о сбое

Самые охватные посты выходили в новостных Телеграм-каналах. Там же зафиксирован самый высокий процент обсуждений (35%). Другими популярными площадками для обмена мнениями стали YouTube (29%) и ВКонтакте (11%). Чаще к теме подключались мужчины. Доля их комментариев – 62,9%. Наиболее активно обсуждение вели пользователи из Москвы, Санкт-Петербурга и Самары. Тональность повестки распределилась следующим образом.

55,8% – нейтральные сообщения. Посты в новостных ресурсах, пересказ фактов и репосты официальных заявлений. 

4,5 % – позитив. Поддержка от комментаторов в соцсетях. Многие пользователи желали перевозчику терпения и сил для устранения сбоя.

Среди позитивных упоминаний также были новости о возврате к штатному режиму и успешных рейсах

39,7 % – негатив. Он имел четыре основные темы:

• недовольство отменой рейсов. Пассажиры негодовали из-за задержек и отмены вылетов, упрекали компанию в недостатке оперативной информации, плохом сервисе и недоступности каналов связи;
• низкие оценки системы кибербезопасности. После сообщений хакеров в адрес перевозчика начались обвинения в использовании устаревших операционных систем и слабых паролей. По мнению пользователей и экспертов это упростило взлом. Широко обсуждали уничтожение серверов, компрометацию важных систем и кражу данных;
• обвинения в некомпетентности. Инцидент оценивали как серьезный удар по репутации компании. Пользователи отмечали крупный финансовый ущерб и неспособность руководства предотвратить взлом;
• политический контекст. Часть пользователей и СМИ рассматривали случившееся как кибератаку на Россию.

Как защитить бренд от кибератак: рекомендации SL

«Аэрофлот» – не единственная компания, пережившая сбой за последние три месяца. В июне была обрушена инфраструктура бренда 12Storeez. В середине июля от массового взлома пострадала сеть напитков «Винлаб». А в конце месяца последовали новости о проблемах в аптечных сетях «Столичка» и «Неофарм». 

Столкнуться с направленной угрозой может бренд любого масштаба. В случае с «Аэрофлотом» хакеры открыто заявляли, что взлом стал возможен из-за устаревших паролей и халатности сотрудников. Чтобы избежать таких последствий, мы рекомендуем:

1. Использовать надежные пароли и менеджеры паролей. В комбинации знаков рекомендуется включать не меньше 12 символов, буквы в верхнем и нижнем регистре, цифры, а также спецсимволы. Чтобы не пришлось запоминать сложные сочетания, можно использовать программу-менеджер паролей. Она шифрует данные, помогает создавать сложные сочетания знаков и хранит их в защищенной базе. 
2. Включить двухфакторную аутентификацию (2FA). Это дополнительный шаг авторизации, который помогает подтвердить личность. Для входа в сервисы помимо логина и пароля используется одноразовый код, биометрия или USB-ключ. Метод обязателен для почты, соцсетей, CRM и рекламных кабинетов.
3. Остерегаться фишинга. Подделка сайтов и писем – распространенный способ кражи данных. Не переходите по подозрительным ссылкам в переписке. Всегда проверяйте правильность доменных имен и email-адресов.
4. Защищать доступ к корпоративным файлам и рекламным кабинетам. Эта модель безопасности называется Zero Trust. Она предполагает, что сотрудникам предоставляется ровно столько прав, сколько требуется для рабочих задач. Сюда же входит регулярная проверка уровней доступа и удаление бывших сотрудников из базы. 
5. Обновлять ПО и делать бэкапы. Это помогает предотвратить уязвимости. Включите автообновления для ОС, браузеров и рабочих инструментов. Важные данные рекомендуется регулярно копировать на внешние носители или в облако.
6. Шифруйте конфиденциальные данные. Отправка информации в открытом виде через мессенджеры или email может привести к ее утечке. Используйте шифрованные архивы или специальные программы (Signal, ProtonMail) для передачи паролей и платежных данных. 
7. Обучайте команду основам кибербезопасности. Если сотрудники не знают, как обращаться с конфиденциальной информацией, риск взлома многократно возрастает. Проводите регулярные тренинги для команды по фишингу, социнженерии и защите данных.
8. Бонус. Используйте отдельные платежные карты с лимитами для рекламных расходов. В случае утечки ущерб будет ограничен средствами с карты.