В даркнете появилась в продаже база данных всех 2286 сотрудников авиакомпании «Победа» с указанием паспортных данных, ИНН и зарплат за 2020 год. Документ сгенерирован 23 января 2021 года и ровно год спустя поступил в свободный (платный) доступ. Самая большая зарплата, естественно, у генерального директора и других топ-менеджеров: технического, коммерческого, лётного директоров и т.п. – они зарабатывают более миллиона рублей в месяц «грязными», т.е. до вычета 13-процентного НДФЛ. Обычные офисные сотрудники в зависимости от должности получают порядка 150-350 тысяч рублей в месяц до уплаты налогов – в общем и целом у «белых воротничков» доходы такие же, как в других крупных компаниях с головными офисами в Москве.
Что касается лётного персонала, то командир воздушного судна получал в среднем 400-500 тысяч рублей в месяц, второй пилот приблизательно в два раза меньше. Что касается бортпроводников, то у большинства в пересчёте на месяц получалось 50-70 тысяч рублей «грязными», у некоторых старших бортпроводников – до 140. Впрочем, важно понимать, что зарплата экипажей состоит из оклада и оплаты за количество налётанных часов. При этом из-за пандемии в 2020 году «Победа» два месяца вообще не выполняла рейсов, а нормальный налёт восстановился лишь к концу лета. То есть, в какие-то месяцы зарплата была значительно ниже средней, в какие-то выше; в базе есть лишь годовой доход.
Чистая прибыль лоукостера в 2020 году составила 1,4 млрд. рублей.
Источник среди лётного персонала «Победы» подтвердил достоверность данных в слитой базе, отметив также, что указанные данные по зарплате в 2022 году неактуальны и после повышения зарплат в 2021 году они выросли как минимум у ряда экипажей примерно на треть.
Наиболее возрастной сотруднице «Победы» в 2020 году было 65 лет, самой молодой едва исполнилось 18.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) вчера потребовала от авиакомпании «Победа» предоставить информацию о возможной утечке персональных данных сотрудников перевозчика.
Но кто и зачем слил базу? Заголовки полей типа «ИНН ФЛ по ЦУН» или «УН сведений по ставке», а также присутствие в ней не только штатных сотрудников, но и внешних подрядчиков – частных лиц по договорам ГПХ, для которых «Победа» выступает налоговым агентом – указывают на то, что утечка могла произойти из ФНС, либо же злоумышленник назвал так поля намеренно, чтобы замести следы.
Помимо очевидных имиджевых потерь слив базы может использоваться для нескольких целей. Во-первых, это дестабилизация коллектива: каждый может увидеть, сколько зарабатывают его коллеги – и решить, что его недооценивают, а также начать завидовать, ведь каждый считает, что достоин большего и вообще работает лучше «этих всех». Именно поэтому в большинстве компаний трудовые договора прямо запрещают раскрывать размер зарплаты.
Во-вторых, это хороший инструмент для конкурентов в условиях нехватки персонала: можно легко переманить интересующего сотрудника, предложив ему более высокую зарплату.
В-третьих, наличие большого объёма персональных данных позволяет использовать базу для более серьёзной хакерской атаки. Например, рассылка замаскированного под сообщение из отдела кадров или кого-то из начальников письма со ссылкой на фишинговый сайт может позволить злоумышленникам получить реквизиты для доступа к внутренним IT-ресурсам компании и кражи ценных коммерческих данных либо их шифрования для последующего требования выкупа.
При этом вряд ли целью хакеров была простая продажа базы всем желающим: слишком узка потенциальная аудитория; по состоянию на сегодняшний день база была скачана всего 12 раз; для доступа к ней нужно потратить около 1000 рублей в биткойнах, из них более 80% уйдут посредникам, так что ради оставшихся сумм вряд ли был смысл делать такую работу. Кто истинный заказчик слива, остаётся только гадать.
Илья Шатилин