Как Sony дошутился, Uber скрылся от полиции, а Notion случайно слил данные пользователей

Утечки корпоративных документов выводят на свет то, что компании предпочли бы скрыть: от дискриминации сотрудников до коррупционных схем. Но что, если данные вашей компании попадут в чужие руки?

В этой статье расскажем о громких утечках данных из Sony Pictures, Notion и Uber. Вы узнаете, кто и зачем охотится за конфиденциальной информацией, какие уроки можно извлечь из этих скандалов, и самое главное — как защитить себя и свою компанию.

Дисклеймер: статья написана специально для блога Minervasoft на основе работы с источниками.

В ноябре 2014 года хакеры взломали внутреннюю сеть Sony Pictures и получили доступ:

Взлом организовала Северная Корея из-за фильма «Интервью» — это комедия про Ким Чен Ына (источники — в конце текста).

Документы попали к журналистам. Вот что выяснилось:

— Компания дискриминировала женщин

Актрисы Дженнифер Лоуренс и Эми Адамс получили 7% от кассовых сборов за свои роли в фильме «Афера по-американски», а их коллеги-мужчины — по 9%.

— Руководители Sony Pictures шутили расистские шутки!

— Компания надёжно хранила пароли сотрудников

Sony Pictures хранила пароли сотрудников в папке под названием «Passwords».

Некоторые из этих файлов были с личными паролями, (например, «karrie's Passwords.xls»), другие относились к рабочим учетным записям («YouTube login passwords.xls»).

Финансовые потери компании от хакерской атаки оцениваются в $100 млн. Из этой суммы $83 млн — убытки из-за утечки готовящихся к прокату кинокартин. Например, злополучный фильм «Интервью» так и не вышел в широкий прокат.

Эми Паскаль покинула пост сопредседателя Sony Pictures (она шутила про президента и занижала зарплаты актрисам).

Ещё компания выплатила сотрудникам около $8 млн в качестве компенсации за утечку личных данных.

А кое-кто нарушал. И вот к чему это привело.

В 2022 году газета Guardian получила 124 тысячи внутренних документов Uber за 2013—2017 годы. Вскрылось вот что:

— Uber платил учёным, чтобы они говорили то, что нужно

Исследования, которые финансировала компания, утверждали, что:

1. Uber создаёт рабочие места и помогает безработным. Но в исследованиях не упоминали, что 65% водителей работали меньше года. Они уходили из-за низких зарплат и долгов за арендованные автомобили.

2. Uber снижает пробки. В статьях писали, что сервис уменьшает количество личных автомобилей. Но исследования умалчивали о том, что машины Uber проезжали 40-50% времени без пассажиров. Это увеличивало пробки на дорогах.

3. Uber помогает экономике. Экономисты доказывали, что сервис стимулирует потребление. В статьях не писали, что из-за низких цен Uber разорились 20% традиционных таксопарков.

Компания использовала исследования для переговоров с властями — Uber в некоторых странах работал полулегально. Статьи доказывали пользу сервиса, и чиновники шли навстречу.

— Uber поощрял насилие над водителями

Для начала нужен контекст.

Чтобы начать работать таксистом во Франции и Нидерландах, нужно:

И ещё на такси фиксированные тарифы, которые регулируются государством.

Uber работал в серой зоне: не по правилам, которые государство устанавливало для таксистов.

Он позиционировал себя не как такси, а как сервис, который передаёт частным водителям заказы на перевозку пассажиров. Его водители были самозанятыми, не всегда имели лицензии на перевозки пассажиров, не соблюдали требования государства к таксистам. Из-за этого были конфликты с властями, и компания старалась выбраться в легальную зону.

Поездки на Uber стоили в 2 раза дешевле такси, поэтому люди предпочитали пользоваться им.

Таксисты теряли клиентов. Их кредиты за лицензии превышали доходы. Поэтому начались протесты.

СМИ писали о безумных таксистах. Полиция начала охранять водителей сервиса. Uber перешёл в легальное поле и начал сотрудничать с властями, а таксисты потеряли поддержку общества.

С помощью протестов таксистов Uber добился своих целей. Утечка данных показала, что компания поощряла насилие над водителями.

Во время протестов водители должны были работать, как будто ничего не происходит. А офисных сотрудников компания ценила больше: им запретили работать в офисе и наняли охрану.

— Uber сделал систему против обысков полиции

Иногда в Uber с обысками приходила полиция. Чтобы неприятные данные не попали в руки правоохранителей, компания разработала систему «kill switch». Она могла в считанные минуты блокировать доступ к корпоративным серверам из офиса, в котором проходит обыск.

Что Uber скрывал от властей:

«Kill switch» воспользовались минимум 12 раз. Один раз в Париже в 2015 году, когда полиция пришла в офис Uber с обыском. За 3 минуты до их прихода менеджеры активировали систему и отключили все компьютеры от хранилища. Полиция не смогла получить данные о водителях и поездках.

Ещё раз — в 2015 году в Амстердаме. Администраторы успели удалить доступ к облачному хранилищу. Из-за этого инспекция труда не смогла проверить, соблюдает ли Uber права водителей.

В Бельгии полиция провела 6 обысков за 2014-2016 годы. Искали доказательства уклонения от налогов. Каждый раз «kill switch» блокировал доступ к финансовым документам компании. Удобно.

— Uber не давал полицейским и чиновникам пользоваться своими услугами

Иногда правоохранители заказывали Uber, чтобы проверить его лицензию и соблюдение условий перевозки пассажиров.

Uber разработал систему Greyball. Приложение для вызова машин анализировало устройство и геолокацию клиента.

Изначально Greyball разрабатывался для защиты водителей от потенциального насилия со стороны клиентов. Но, оказалось, полезная штука.

— У компании есть штат лоббистов

Компания наняла 28 лоббистов. Среди них — бывшие советники Джорджа Буша и Барака Обамы. Они назначали неофициальные встречи с крупными политиками и чиновниками и договаривались об особых условиях для бизнеса.

Документы Uber попали к журналистам через бывшего сотрудника компании Марка Макганна. Он работал главным лоббистом Uber в Европе в 2014-2016 годах.

Марка Макганн передал журналистам следующие документы:

Он объяснил свои действия угрызениями совести.

Чтобы данные компании попали в сеть, необязательно кого-то взламывать или сливать данные. Может произойти банальный технический сбой. Так было с Notion в 2024 году.

Сервис уходил из РФ, и пользователи массово выгружали свои данные. Но… произошло что-то странное: некоторые находили в своих архивах чужие файлы.

Одна девушка нашла в своём архиве файл под названием «Нечто», а в нём — документы неизвестного ей проекта.

А потом сделала повторный экспорт данных из своего Notion. В новом архиве она нашла не только документы «НЕЧТО», но и рабочее пространство третьего пользователя. Среди файлов были банковские данные, личный дневник и информация о семье.

Девушка потом обратилась в поддержку Notion. После этого функцию экспорта данных отключили на несколько дней, и спустя время всё начало работать корректно.

Но факт остаётся фактом: из-за сбоя информация, которая должна была оставаться конфиденциальной (пароли, банковские и паспортные данные), случайно оказалась в чужих руках — по вине сервиса.

Этот случай напомнил: утечки бывают по разным причинам — от технических сбоев до человеческого фактора. Иногда их последствия катастрофичны.

Обезопасить себя полностью невозможно, но первый шаг к этому — минимизация рисков.

Один из самых надежных способов — использование локальных решений, которые устанавливаются на корпоративные серверы. Это дает контроль над данными и уверенность в их безопасности. По крайней мере, так корпоративные документы:

Minervasoft уже более 5 лет внедряет решения по управлению знаниями и обучением.

Продукты компании можно разместить на вашем оборудовании в соответствии с любыми ограничениями и стандартами безопасности. А ещё Minervasoft — участник реестра отечественного ПО.

С помощью Minerva Knowledge можно всей командой создавать статьи, шаблоны, интерактивные сценарии и загружать файлы.

А если времени на поиски нет, выручает виджет Minerva Copilot: он встраивается в любые системы компании и подсказывает ответы в зависимости от контекста.

Материалы из Minerva Knowledge можно использовать и за её пределами — например, на сайте.

Для обучения команды есть Minerva Learn. Там можно создавать курсы на основе материалов из базы знаний, добавлять тестовые задания и отслеживать прогресс. Если основной контент меняется, сотрудники не только получают уведомления, но и могут пройти мини-тесты для проверки обновлённых знаний.

Minervasoft помогает сделать работу с информацией прозрачной, эффективной и безопасной.

У Minervasoft есть свой блог в Telegram — там будут выходить другие статьи про спорные вопросы в найме, менеджменте и планировании. Подпишитесь, чтобы не пропустить.

Источники:

— Uber: серия статьей the Guardian «The Uber Files».

— Sony Pictures: серия публикаций The Washington Post о SonyPictures

— Notion: статья на VC «Пользователи Notion из России столкнулись с утечками при экспорте данных».