Сан-Франциско ­­­­— «Uber» обнародовал во вторник данные о том, что хакеры похитили данные аккаунтов 57 миллионов водителей и пользователей, а также тот факт, что компания скрывала утечку больше года после того, как выплатила выкуп в размере 100000 долларов.

Сделка была организована главой службы безопасности компании и под контролем бывшего главы компании, Трэвиса Каланика, по словам нескольких нынешних и бывших сотрудников, которые раскрыли данную информацию при условии сохранения анонимности, так как детали плана не подлежат огласке.

Сотрудник службы безопасности Джо Салливан был уволен. Мистер Каланик был вынужден уйти в отставку, хотя он и остается в Совете директоров компании.

Два хакера украли данные о водителях и пользователях — в том числе номера телефонов, адреса электронной почты и имена ­­— со стороннего сервера ­­­­— а затем обратились к «Uber» и потребовали 100000 долларов за удаление их копии данных, сказали сотрудники.

«Uber» молча согласился с требованиями, и затем пошел дальше. Компания отследила хакеров и подтолкнула их к подписанию соглашений о неразглашении, по словам людей, разбирающихся в данном вопросе. Чтобы еще тщательнее скрыть нанесенный ущерб, руководители «Uber» также сделали так, чтобы данный платеж был частью премии за обнаруженные ошибки в программном обеспечении — обычная практика среди технологических компаний, которые платят хакерам за атаку на их программное обеспечение для обнаружения уязвимых мест.

Детали атаки скрывали до вторника. В «Uber» заявили, что они обнаружили взлом во время расследования, инициированного руководством компании.

Нарушение в «Uber» далеко не самое серьезное раскрытие конфиденциальной информации о клиентах. Два других нарушения, об одном из которых компания «Yahoo» объявила в 2016 году, затмевают «Uber» по масштабу, а из-за сентябрьской атаки на бюро кредитных историй «Equifax» была обнародована гораздо более ценная информация для большей группы людей.

Но то, на какие меры пошли руководители компания «Uber», подчеркивает насколько они хотели защитить деловую репутацию и бизнес, оцениваемый в 70 миллиардов долларов, даже при потенциальном риске потерять доверие пользователей, и, что еще более важно, нарушении федеральных законов и законов штатов. Генеральная прокуратура Нью-Йорка заявила, что открыла расследование по данному вопросу.

Дара Хосровшахи, который был избран главой компании «Uber» в конце августа, сказал, что он только недавно узнал о нарушении.

«Ничего из этого не должно было произойти, и я не буду за это оправдываться, — написал мистер Хосровшахи в блоге компании. — Хоть я и не могу стереть прошлое, но я могу заявить от имени каждого работника «Uber», что мы будем учиться на своих ошибках. Мы меняем наш способ ведения бизнеса, ставя честность в основу принятия каждого решения и усердно работая, чтобы завоевать доверие наших клиентов».

Раскрытие информации о нарушении и о том, как произошедшее замалчивалось, снова подняло вопросы относительно должности мистера Каланика, который сталкивался с критикой его стиля управления, после того, как рабочая атмосфера «Uber» подверглась тщательной проверке. Газета «New York Times» также сообщила о секретной программе «Greyball», которая была проведена под контролем мистера Каланика и в соответствии с которой работники компании следили за сотрудниками правоохранительных органов, чтобы избегать их. После его ухода с поста главы компании на него подал в суд один из инвесторов в связи с мошенничеством.

Нарушение также не говорит в пользу мистера Салливана, который был значимой фигурой в сфере обеспечения безопасности информации. Мистер Салливан присоединился к компании «Uber» в качестве главы службы безопасности в 2015 году, после того, как он занимал аналогичную должность в компании «Facebook» на протяжении 7 лет.

В отличие от многих руководителей систем информационной безопасности, мистер Салливан был раньше юристом и изучал информационное право в университете Майами. Он начал свою карьеру в индустрии высоких технологий в качестве федерального прокурора во время технологического бума конца 90-х годов, работая на компанию «Ebay», где он был главой системы безопасности.

Решение мистера Салливана присоединиться к «Uber» рассматривалось как победа для компании. По мере того, как росли ряды водителей и клиентов, внутри и за пределами компании стали беспокоиться о конфиденциальности и безопасности. «Uber» столкнулся с жалобами в связи с нападениями на водителей и клиентов, а также обвинениями в том, что «Uber» сделал недостаточно для защиты данных. Перед мистером Салливаном стояла задача обеспечить их безопасность.

Другим работником «Uber», уволенным вместе с мистером Салливаном, был Крейг Кларк, директор по юридическим вопросам безопасности и охране правопорядка. Ни мистер Салливан, ни мистер Кларк не ответили на просьбы дать комментарии.

Решение компании сокрыть нарушение и выплатить выкуп быстро вызвало ряд вопросов среди экспертов по безопасности. Многие из них неоднократно предостерегали компании от выплаты выкупа для сокрытия нарушения или возвращения украденных данных, совет, который был включен в заявлении ФБР 2016 года. В ряде штатов, включая Калифорнию, есть законы, обязывающие компании раскрывать информацию о взломе их хакерами.

«Компании финансируют организованную преступность, создается отрасль преступников, — сказал Кевин Бомонт, британский эксперт по информационной безопасности. — Хорошие ребята создают рынок для плохих парней. Мы даем им возможность зарабатывать на том, что несколько лет назад делали подростки в спальнях, взламывая компании для развлечения».

«Uber» сталкивался с нарушениями и раньше. Компания столкнулась с кражей данных в мае 2014 года, что было обнаружено компанией позже в этом году и обнародовано в 2015 году. В ходе их были подвергнуты опасности имена и водительские удостоверения более 50 000 водителей.

Это последнее нарушение ставит «Uber» в другую трудную ситуацию, так как компания сейчас работает, чтобы восстановить свою сильно подмоченную репутацию, и стремится к своему первоначальному публичному размещению акций в 2019 году. Мистер Хосровшахи охарактеризовал свое пребывание в компании как «Uber 2.0». В рамках этого, он отбросил агрессивные корпоративные ценности, которые высоко ценились мистером Калаником и дал компании новый список ценностей, который включает в себя требования «делать правильные вещи. Точка».

«Uber» нанял Мэтта Олсена, бывшего начальника юридического управления Агентства национальной безопасности, в качестве советника, а также охранную фирму «Mandiant» для проведения независимого расследования нарушения безопасности. В «Uber» заявили, что мистер Олсен планирует реорганизовать службу безопасности компании.

Но ущерб уже нанесен, и руководство «Uber» знает о долгом пути назад к хорошим отношениям с общественностью.

«Ущерб репутации из-за взлома в настоящее время заботит руководителей компании больше, чем сама атака», — заявила в своем «Twitter» в апреле 2016 года Мелани Енсайн, сотрудница отдела по коммуникациям в сфере конфиденциальности и безопасности «Uber».

0

0