Дисклеймер: статья написана специально для блога Minervasoft на основе работы с источниками.

Утечки корпоративных документов выводят на свет то, что компании предпочли бы скрыть: от дискриминации сотрудников до коррупционных схем. Но что, если данные вашей компании попадут в чужие руки?

В этой статье расскажем о громких утечках данных из Sony Pictures, Notion и Uber. Вы узнаете, кто и зачем охотится за конфиденциальной информацией, какие уроки можно извлечь из этих скандалов, и самое главное — как защитить себя и свою компанию.

В чём виновата Sony Pictures?

В ноябре 2014 года хакеры взломали внутреннюю сеть Sony Pictures и получили доступ:

• К переписке руководителей компании. 

• К сценариям фильмов и отснятым материалам.

• К личным данным сотрудников.

Взлом организовала Северная Корея из-за фильма «Интервью» — это комедия про Ким Чен Ына (источники — в конце текста).

Документы попали к журналистам. Вот что выяснилось:

— Компания дискриминировала женщин

Актрисы Дженнифер Лоуренс и Эми Адамс получили 7% от кассовых сборов за свои роли в фильме «Афера по-американски», а их коллеги-мужчины — по 9%.

— Руководители Sony Pictures шутили расистские шутки! 

— Компания надёжно хранила пароли сотрудников 

Sony Pictures хранила пароли сотрудников в папке под названием «Passwords».

Некоторые из этих файлов были с личными паролями, (например, «karrie's Passwords.xls»), другие относились к рабочим учетным записям («YouTube login passwords.xls»). 

В этих файлах содержались пароли в том числе от финансовых аккаунтов, голосовой почты и других серверов.

Сколько Sony Pictures заплатила за утечку 

Финансовые потери компании от хакерской атаки оцениваются в $100 млн. Из этой суммы $83 млн — убытки из-за утечки готовящихся к прокату кинокартин. Например, злополучный фильм «Интервью» так и не вышел в широкий прокат. 

Эми Паскаль покинула пост сопредседателя Sony Pictures (она шутила про президента и занижала зарплаты актрисам).

Ещё компания выплатила сотрудникам около $8 млн в качестве компенсации за утечку личных данных. 

Sony Pictures не нарушала закон, но утечка данных обошлась ей очень дорого. 

А кое-кто нарушал. И вот к чему это привело.

Почему Uber ещё не закрыли? 

Uber — сервис по перевозке пассажиров. Работает как  Яндекс.Такси, только Uber появился раньше.

В 2022 году газета Guardian получила 124 тысячи внутренних документов Uber за 2013—2017 годы. Вскрылось вот что:

— Uber платил учёным, чтобы они говорили то, что нужно

Исследования, которые финансировала компания, утверждали, что:

1. Uber создаёт рабочие места и помогает безработным. Но в исследованиях не упоминали, что 65% водителей работали меньше года. Они уходили из-за низких зарплат и долгов за арендованные автомобили.

2. Uber снижает пробки. В статьях писали, что сервис уменьшает количество личных автомобилей. Но исследования умалчивали о том, что машины Uber проезжали 40-50% времени без пассажиров. Это увеличивало пробки на дорогах.

3. Uber помогает экономике. Экономисты доказывали, что сервис стимулирует потребление. В статьях не писали, что из-за низких цен Uber разорились 20% традиционных таксопарков.

Компания использовала исследования для переговоров с властями — Uber в некоторых странах работал полулегально. Статьи доказывали пользу сервиса, и чиновники шли навстречу.

— Uber поощрял насилие над водителями

Для начала нужен контекст.

Чтобы начать работать таксистом во Франции и Нидерландах, нужно:

• Купить дорогую лицензию на деятельность.

• Пройти обучение на таксиста и сдать экзамен.

• Платить все налоги и взносы.

• Создавать условия для безопасной перевозки пассажиров. 

И ещё на такси фиксированные тарифы, которые регулируются государством.

Uber работал в серой зоне: не по правилам, которые государство устанавливало для таксистов.

Он позиционировал себя не как такси, а как сервис, который передаёт частным водителям заказы на перевозку пассажиров. Его водители были самозанятыми, не всегда имели лицензии на перевозки пассажиров, не соблюдали требования государства к таксистам. Из-за этого были конфликты с властями, и компания старалась выбраться в легальную зону. 

Поездки на Uber стоили в 2 раза дешевле такси, поэтому люди предпочитали пользоваться им. 

Таксисты теряли клиентов. Их кредиты за лицензии превышали доходы. Поэтому начались протесты. 

В июне 2015 года в Париже таксисты избили 7 водителей и сожгли 12 машин Uber. 

СМИ писали о безумных таксистах. Полиция начала охранять водителей сервиса. Uber перешёл в легальное поле и начал сотрудничать с властями, а таксисты потеряли поддержку общества. 

С помощью протестов таксистов Uber добился своих целей. Утечка данных показала, что компания поощряла насилие над водителями. 

Во время протестов водители должны были работать, как будто ничего не происходит. А офисных сотрудников компания ценила больше: им запретили работать в офисе и наняли охрану. 

— Uber сделал систему против обысков полиции

Иногда в Uber с обысками приходила полиция. Чтобы неприятные данные не попали в руки правоохранителей, компания разработала систему «kill switch». Она могла в считанные минуты блокировать доступ к корпоративным серверам из офиса, в котором проходит обыск. 

Что Uber скрывал от властей: 

• Его водители работали без лицензий в странах, где это необходимо.

• Uber вёл серую бухгалтерию. За 2014-2017 годы компания скрыла от налоговой €460 млн во Франции.

• В компании работали проблемные водители: они попадали в аварии и нарушали правила. Uber об этом знал, но не отключал их от сервиса, чтобы сохранить количество машин на линии.

• Uber недоплачивал сотрудникам: после вычета расходов на бензин и обслуживание машины водители получали меньше минимальной зарплаты. В Нидерландах это €4-5 в час при минимальной €10.

• Uber создавал фейковые профили водителей через подставные компании. Это помогало обходить запреты и ограничения в разных городах.

«Kill switch» воспользовались минимум 12 раз. Один раз в Париже в 2015 году, когда полиция пришла в офис Uber с обыском. За 3 минуты до их прихода менеджеры активировали систему и отключили все компьютеры от хранилища. Полиция не смогла получить данные о водителях и поездках.

Ещё раз — в 2015 году в Амстердаме. Администраторы успели удалить доступ к облачному хранилищу. Из-за этого инспекция труда не смогла проверить, соблюдает ли Uber права водителей.

В Бельгии полиция провела 6 обысков за 2014-2016 годы. Искали доказательства уклонения от налогов. Каждый раз «kill switch» блокировал доступ к финансовым документам компании. Удобно.

— Uber не давал полицейским и чиновникам пользоваться своими услугами

Иногда правоохранители заказывали Uber, чтобы проверить его лицензию и соблюдение условий перевозки пассажиров.

Uber разработал систему Greyball. Приложение для вызова машин анализировало устройство и геолокацию клиента. 

Например, если запрос на поездку поступал из офисов правительственных учреждений, Uber показывал искаженные данные о машинах и ценах. И заказать водителя почему-то не получалось…

Изначально Greyball разрабатывался для защиты водителей от потенциального насилия со стороны клиентов. Но, оказалось, полезная штука.

— У компании есть штат лоббистов 

Компания наняла 28 лоббистов. Среди них — бывшие советники Джорджа Буша и Барака Обамы. Они назначали неофициальные встречи с крупными политиками и чиновниками и договаривались об особых условиях для бизнеса.

Как произошла утечка данных

Документы Uber попали к журналистам через бывшего сотрудника компании Марка Макганна. Он работал главным лоббистом Uber в Европе в 2014-2016 годах.

Марка Макганн передал журналистам следующие документы:

• Договоры между партнёрами.

• Переписки руководителей.

• Данные о лоббистской деятельности.

• Внутренние инструкции по использованию «Kill switch» и «Greyball». 

Он объяснил свои действия угрызениями совести.

Как Notion случайно слил конфиденциальные данные пользователей

Чтобы данные компании попали в сеть, необязательно кого-то взламывать или сливать данные. Может произойти банальный технический сбой. Так было с Notion в 2024 году.

Сервис уходил из РФ, и пользователи массово выгружали свои данные. Но… произошло что-то странное: некоторые находили в своих архивах чужие файлы. 

Одна девушка нашла в своём архиве файл под названием «Нечто», а в нём — документы неизвестного ей проекта. 

А потом сделала повторный экспорт данных из своего Notion. В новом архиве она нашла не только документы «НЕЧТО», но и рабочее пространство третьего пользователя. Среди файлов были банковские данные, личный дневник и информация о семье.

Девушка потом обратилась в поддержку Notion. После этого функцию экспорта данных отключили на несколько дней, и спустя время всё начало работать корректно.

Но факт остаётся фактом: из-за сбоя информация, которая должна была оставаться конфиденциальной (пароли, банковские и паспортные данные), случайно оказалась в чужих руках — по вине сервиса.

Если вы выгружали данные из Notion 27-28 августа 2024 года, ваши данные из Notion могли попасть в архив к кому-нибудь другому. Живите с этим.

Этот случай напомнил: утечки бывают по разным причинам — от технических сбоев до человеческого фактора. Иногда их последствия катастрофичны.

Обезопасить себя полностью невозможно, но первый шаг к этому — минимизация рисков. 

Один из самых надежных способов — использование локальных решений, которые устанавливаются на корпоративные серверы. Это дает контроль над данными и уверенность в их безопасности. По крайней мере, так корпоративные документы:

• Не попадут в открытый доступ из-за бага в облачной версии. 

• И не станут лёгкой мишенью для хакеров из-за того, что корпоративный софт не обновляется. Так происходит с ПО компаний, которые ушли из РФ — например, Confluence. 

Minervasoft уже более 5 лет внедряет решения по управлению знаниями и обучением.

Продукты компании можно разместить на вашем оборудовании в соответствии с любыми ограничениями и стандартами безопасности. А ещё Minervasoft — участник реестра отечественного ПО.

С помощью Minerva Knowledge можно всей командой создавать статьи, шаблоны, интерактивные сценарии и загружать файлы. 

А если времени на поиски нет, выручает виджет Minerva Copilot: он встраивается в любые системы компании и подсказывает ответы в зависимости от контекста. 

Материалы из Minerva Knowledge можно использовать и за её пределами — например, на сайте. 

Для обучения команды есть Minerva Learn. Там можно создавать курсы на основе материалов из базы знаний, добавлять тестовые задания и отслеживать прогресс. Если основной контент меняется, сотрудники не только получают уведомления, но и могут пройти мини-тесты для проверки обновлённых знаний. 

Minervasoft помогает сделать работу с информацией прозрачной, эффективной и безопасной. 

Защищайте корпоративные данные — последствия утечек могут быть неприятными.

Попробовать Minervasoft

У Minervasoft есть свой блог в Telegram — там будут выходить другие статьи про спорные вопросы в найме, менеджменте и планировании. Подпишитесь, чтобы не пропустить.

Источники:

• Uber: серия статьей the Guardian «The Uber Files»

• Sony Pictures: серия публикаций The Washington Post о SonyPictures

• Notion: статья на VC «Пользователи Notion из России столкнулись с утечками при экспорте данных»