В 2016 году злоумышленники похитили личные данные 600 тыс. водителей водителей и 57 млн клиентов компании Uber, воспользовавшись учетными данными ее сотрудников, скомпрометированными в ходе предыдущих утечек. В Uber на тот момент предпочли не сообщать об инциденте, вместо этого уплатив похитителям выкуп в 100 тыс. долл. за возвращение данных и уговорив их подписать договор о неразглашении информации. Процедура подписания была организована таким образом, что сотрудникам Uber удалось отследить IP-адрес злоумышленников, по которому их позже вычислили правоохранительные органы.
Об инциденте было объявлено лишь год спустя. В связи с ним к ответственности был привлечен Джо Салливан, который занимал должность директора по безопасности Uber, а до того сам работал федеральным прокурором по киберпреступлениям. В начале мая 2023 года Салливана приговорили к трем годам условного срока за помехи следствию и сокрытие уголовного деяния.
Вердикт в отношении Салливана вызвал тревогу в сообществе специалистов по кибербезопасности, породив у них опасения, что они тоже могут попасть под суд просто за то, что выполняли свои обязанности. Салливан получил от коллег сотни писем поддержки, 186 из которых он направил судье, и считает, что именно это спасло его от тюремного заключения. Сам судья на оглашении приговора, впрочем, выразил раздражение, сообщив, что еще никогда раньше не получал такого количества писем в поддержку обвиняемого.
Авторы писем напоминали о безупречной репутации Салливана как специалиста, который выстраивал программы обеспечения безопасности и конфиденциальности в ряде растущих компаний электронной коммерции, в том числе eBay и Facebook, а также о том, что благодаря его деятельности за решеткой оказалось немало злоумышленников.
Письма также выражали подспудный страх и неуверенность в вопросе о том, кто на самом деле должен нести ответственность за работу с утечками. Некоторые авторы даже писали, что по их ощущениям, смысл данного прецедента заключается в устрашении с целью побудить к максимальным перестраховкам в деле публичного раскрытия утечек. Многие также сетовали на отсутствие четких нормативных актов, регламентирующих такое раскрытие. В письме, под которым поставили подписи 50 видных участников отрасли, говорилось о том, что приговор к тюремному заключению негативно повлиял бы на индустрию ИТ, безопасность компаний и клиентов, так как создал бы чрезмерный персональный риск для тех, кто должен принимать сложные решения в непростых ситуациях, которые нередко возникают в работе директоров по безопасности.
Прокурор на слушании по поводу приговора выразил недовольство коллективным письмом, заявив, что оно создает впечатление, будто никакого преступления не произошло. Предметом обсуждения на суде стал вопрос о том, в каких случаях неразглашение утечки можно квалифицировать как помехи следствию и сокрытие преступления, учитывая что в результате раскрытия сведений об инциденте и ответных действиях могут появиться новые уязвимости, которыми способны воспользоваться злоумышленники.
Недопонимание также возникло в связи с тем, почему именно директор по безопасности был привлечен к ответственности, хотя судя по документальным свидетельствам, после утечки Салливан наладил систему отслеживания хода развития инцидента для группы реагирования, а также советовался о ситуации с тогдашним главой Uber Трэвисом Калаником и юристом Крэйгом Кларком. При этом ни Каланик, ни Кларк в суде даже не появлялись, правда, последний получил от правительства иммунитет в обмен на согласие дать свидетельские показания.
Сам Салливан утверждал, что директор по безопасности не принимает окончательные решения в подобных ситуациях, а лишь дает рекомендации. По его словам, существует возможность «катапультироваться», став разоблачителем, но к этому предпочитают не прибегать.
Именно Кларк порекомендовал воздержаться от раскрытия утечки, поскольку команде Салливана удалось вернуть данные до того, как они утекли в даркнет. В связи с этим обсуждался вопрос, нужно ли вообще в таких случаях раскрывать сведения об инциденте.
Судья положительно оценил работу Салливана по возвращению данных и отслеживанию злоумышленников, которых в итоге задержали. Но при этом добавил, что в результате неразглашения инцидента в 2016 году их арест задержался до 2017-го, когда об утечке сообщило новое руководство Uber.
Значительное влияние на исход дела оказало отсутствие государственных установок по поводу того, в какие сроки должны раскрываться подобные инциденты, содержания такого раскрытия и конкретных инстанций, в которые нужно обращаться. К тому же в каждом штате свои законы на этот счет. В Калифорнии, где находится штаб-квартира Uber, есть закон о личной информации потребителей, согласно которому жителей штата необходимо уведомлять, когда их данные попали в чужие руки. Однако в этом законе ничего не говорится о том, как должна поступать организация, если ей удалось вернуть данные до попадания в даркнет, — это, по словам Кларка, и стало основанием для принятия решения о неразглашении.
Специалисты по профессиональной этике уверены, что юридическое решение о том, раскрывать ли утечку, должен был принять главный юрист Uber, однако тот заверил суд, что вообще ничего не знал, несмотря на участие его подчиненного в устранении последствий.
Наблюдатели предполагают, что принятие решения о неразглашении инцидента могло быть следствием культуры скрытности, существовавшей в то время в Uber. При этом многие говорят, что назначать Салливана единственным виновником было неверно — похоже, что он стал козлом отпущения, когда новое руководство Uber пыталось очистить репутацию компании в глазах общественности.
В связи с неоднозначностью Салливану в итоге удалось избежать заключения, хотя он, по его словам, был полностью уверен, что отправится в тюрьму. Судья же на оглашении приговора заявил, что если ему придется выносить решение по аналогичному делу завтра, обвиняемый точно окажется за решеткой, будь у него даже репутация, как у самого папы римского.