Бывший глава службы безопасности Uber, скрывавший утечку данных, едва избежал тюрьмы

Человеку свойственно стремление скрывать постыдные вещи, чтобы хорошо выглядеть в глазах других. Когда речь идёт о работе, это может быть желание скрыть свои промахи или ошибки компании в надежде, что никто не заметит — подход, который попахивает непрофессионализмом и неизбежно ведёт к ещё большим проблемам в долгосрочной перспективе. Именно эта часть человеческой природы, по мнению обвинителей, привела к краху Джо Салливана, бывшего директора по безопасности (CSO) Uber, компании, специализирующейся на сервисах такси и доставки еды.

4 мая Салливан был приговорен к трём годам тюрьмы условно за препятствование правосудию и сокрытие преступлений, связанных с утечкой данных в 2016 году. В результате утечки двое хакеров получили доступ к личной информации (имена, адреса электронной почты и номера телефонов) 57 миллионов пассажиров и водителей Uber, включая номера водительских прав примерно 600 000 водителей в США. Хотя утечки данных такого масштаба происходят редко, но всё же встречаются, это дело особенно интересно тем, что это первый случай, когда главный специалист по безопасности компании столкнулся с уголовным преследованием за неправильное обращение с данными, с реальной перспективой оказаться в тюрьме.

Uber держала своих клиентов и подрядчиков в неведении относительно хакерской атаки целый год. Эта секретность не только стоила компании около 148 миллионов долларов в виде штрафов, но и, что самое главное, лишила пассажиров такси и водителей возможности предпринять своевременные шаги для защиты от кражи личных данных, мошенничества и других рисков, которым они подвергались из-за потенциального неправомерного использования их данных хакерами.

Новых нарушителей ждёт тюрьма, даже «Папу Франциска»

По мнению стороны обвинения, если бы не «удачное назначение» в Uber нового генерального директора Дары Хосровшахи в августе 2017 года, Салливану, скорее всего, удалось бы избежать наказания за сокрытие информации. «Есть все основания полагать, что десятки миллионов жертв утечки данных 2016 года никогда бы об этом не узнали», — заявили в прокуратуре.

Сторона обвинения настаивала на реальном тюремном сроке для Салливана — 15 месяцев заключения. В свете этого может показаться, что бывший глава по безопасности Uber отделался лёгким испугом, получив приговор, не подразумевающий лишения свободы. Однако судья Уильям Оррик объяснил, что он проявил милосердие лишь потому, что Салливан стал первым в истории руководителем службы безопасности, которому были предъявлены уголовные обвинения за сокрытие и ложь об утечке данных. Он предупредил, что тех, кто не вынесет урока из этой истории и совершит такое же преступление, ожидает более суровое наказание. Оррик сказал: *«Если завтра у меня будет подобное дело, то будь обвиняемый хоть Папой Франциском, он отправится в тюрьму».

Для тех из вас, кто не следил за этим делом или кто хочет освежить его в памяти, вот краткий обзор событий, которые привели к тому, что Салливан оказался на скамье подсудимых.

Нелёгкое начало

Салливан пришел в Uber в качестве первого руководителя службы безопасности в апреле 2015 года, чтобы справиться с последствиями утечки данных 2014 года, в результате которой были раскрыты онлайн-системы Uber. Компания, вероятно, возлагала большие надежды на Салливана, поскольку ранее он был федеральным прокурором, работал в PayPal, eBay, а также пять лет занимал пост CSO Facebook. Запятнав свою репутацию взломом 2014 года, компания Uber надеялась, что Салливан поможет ей повысить уровень безопасности и улучшить имидж.

Однако через полтора года после начала работы Салливан столкнулся с собственным кризисом безопасности. В ноябре 2016 года Салливан обнаружил новую утечку, в результате которой была скомпрометирована личная информация миллионов пользователей и водителей Uber. Это произошло всего через 10 дней после того, как он дал показания Федеральной торговой комиссии о нарушении 2014 года и мерах безопасности, принятых Uber с тех пор. В своих показаниях Салливан утверждал, что Uber зашифровал данные аккаунтов и удалил ключи от аккаунта Amazon Web Services из репозиториев GitHub, которые были одними из уязвимостей, ставших причиной взлома 2014 года.

Но это было не совсем правдой. Взлом в 2016 году произошел «в том числе из-за тех же недостатков в системе безопасности, которые привели к взлому данных в 2014 году», как позже выяснили следователи. Этот факт, по словам прокуроров, был очевиден для Салливана, опытного сотрудника службы безопасности, «практически сразу». Проблема, отмечают они, заключалась в том, что Салливан уже исказил информацию о методах шифрования Uber и степени доступа сотрудников к данным в своих показаниях ФТК, в том числе в заявлениях, сделанных им под присягой. Например, Салливан солгал ФТК, что Uber перестал хранить незашифрованную личную информацию на Amazon Web Services (облачная вычислительная платформа Amazon) после марта 2015 года, тогда как на самом деле «незашифрованная личная информация оставалась на AWS по крайней мере до ноября 2016 года, когда два хакера украли оттуда огромное количество данных».

Салливан оказался перед сложным выбором: либо признать недавнюю утечку данных перед регулирующими органами и рискнуть своей репутацией и репутацией компании, либо замять всё это и надеяться, что никто не узнает. Он выбрал последнее.

Вознаграждение за ошибку или взятка за молчание?

По словам бывшего юриста Uber Крейга Кларка, который дал показания против Салливана, узнав о краже личных данных пользователей, Салливан придумал план сокрытия взлома как «стандартное взаимодействие с исследователями безопасности в рамках программы Uber "вознаграждение за ошибку"». Несмотря на то, что выплата в рамках программы Uber составляла 10 000 долларов за критическую на тот момент проблему, Салливан предложил анонимным хакерам 100 000 долларов единовременно, что было их вымогательским требованием. Затем Салливан договорился с хакерами (которые так и не раскрыли свои личности) о подписании NDA, в котором они обещали не распространяться о взломе.

На тот момент, по данным Министерства юстиции США, бывший глава службы безопасности Uber скрывал правду даже от внутренней команды юристов. В то время как Uber находился посреди урегулирования проблемы с нарушением 2014 года с ФТК, Салливан ничего не сказал о новом нарушении собственным юристам Uber, а вместо этого «расхваливал работу, проделанную им и его командой по обеспечению безопасности данных». Салливан, однако, оспаривал эту версию событий во время судебного разбирательства, утверждая, что юридический отдел Uber и другие руководители были в курсе.

Что касается того, был ли тогдашний генеральный директор Uber Трэвис Каланик замешан в этой схеме… Как минимум, Каланику не предъявляли никаких обвинений в связи с утечкой данных. Тем не менее, во время вынесения приговора Салливану судья Оррик назвал бывшего генерального директора «таким же виновным», как и Салливан. Поди разберись.

Правда выходит наружу

Как говорится, тайное всегда становится явным. После того как Дара Хосровшахи был назначен новым генеральным директором Uber в августе 2017 года, Салливан, как утверждают прокуроры, некоторое время продолжал разыгрывать представление. В частности, Салливан, по словам прокуроров, писал Хосровшахи, что хакеры никогда не брали никаких данных и что их идентифицировали до того, как им заплатили.

Но уже в ноябре 2017 года Салливан был уволен, а Uber публично объявила о взломе. В заявлении о взломе Хосровшахи признал, что хакеры «скачали файлы», содержащие информацию о пользователях, и извинился за то, что не уведомил пострадавших. На суде над Салливаном хакеры (теперь их личности установлены) действительно дали показания, что они подписали соглашение о неразглашении с Uber под вымышленными именами и в нём ложно утверждали, что не скачивали и не хранили никаких данных.

После увольнения Салливана компания Uber наняла новую команду безопасности и поклялась предотвратить подобные инциденты в будущем. Но даже если Uber и изменила свою систему оповещения о взломах, это не помешало компании пострадать от нескольких крупных утечек данных уже после 2016 года, в том числе в сентябре 2022 года, когда она стала жертвой хакеров из группы Lapsus$.

Последствия: личные…

Что касается Салливана, то его скандальный уход из Uber не испортил его карьерных перспектив. Через полгода после увольнения из Uber Салливан поступил на работу в Cloudflare на должность директора по безопасности. В июле 2022 года он взял отпуск в Cloudflare, чтобы подготовиться к судебному процессу, и, согласно его странице в LinkedIn, покинул компанию в октябре, как раз когда присяжные признали его виновным в двух уголовных преступлениях, связанных с сокрытием информации.

Во время вынесения приговора Салливан признал свои ошибки в работе с утечкой данных. *«Я должен был бороться за прозрачность, и в каждой ситуации, в которой я оказывался с тех пор, я убеждался в этом. Я усвоил этот урок», — сказал он.

…и для индустрии

Если вынести личность Салливана за скобки, то его дело может стать переломным моментом для всей отрасли. В первую очередь, оно ясно показывает, что замалчивание утечек данных — наихудшая из возможных практик. Также, надеемся, оно послужит сильным сдерживающим фактором для тех, кто думает, что может спасти свою репутацию или репутацию своей компании ценой безопасности пользователей.

Столкнувшись с возможностью реального тюремного заключения, руководители служб безопасности и другие высокопоставленные специалисты по безопасности будут знать, что лучше не скрывать утечки данных, в том числе и в тех случаях, когда их собственная халатность могла способствовать случившемуся.

То, как развивалось это дело, также доказывает, что платить выкуп хакерам, особенно тем, кто отказывается назвать себя и чьи действия не похожи на действия «этичных хакеров», — это недальновидное решение, которое может привести к серьёзным последствиям.

Если сотрудники служб безопасности других компаний проигнорируют уроки этого дела и повторят те же ошибки, что и бывший CSO компании Uber, им некого будет винить, кроме самих себя, когда они окажутся за решёткой. Их предупредили. Но будет ли это достаточным предостережением? Это нам ещё предстоит увидеть.