Атака на базу данных случилась в мае, но ее последствия проявились только в сентябре. Переговоры с Uber Салливан вел в декабре – и к тому времени компания так ничего и не признала.
В предварительном разговоре с Салливаном Каланик попросил его провести презентацию для старших администраторов и представить им, как будет устроена система безопасности компании, если он получит предлагаемую работу. Салливан сказал, что хочет сделать безопасность интегральной частью маркетинговой стратегии Uber. Клиенты, полагал он, должны считать, что поездка на Uber намного безопаснее, чем на такси. «Безопасность должна быть для нас брендовым дифференциатором, а не минимально жизнеспособным компонентом», – сказал Салливан.
Он обдумал свои варианты. Ему предложили работу ответственного за информационную безопасность, руководителя разношерстной команды из примерно тридцати человек, разбросанных по нескольким группам внутри компании. Салливан понимал, что ему придется укрепить и увеличить штат команды. Он также попросил – и эта просьба была удовлетворена – отчитываться непосредственно перед CEO.
Uber нуждался в Салливане куда сильнее, чем Салливан в Uber. Но Джо был готов принять вызов. Кроме того, он уже купился на обещания и проникся симпатией к сладкоречивому гендиректору компании, Трэвису Каланику.
Мир технологий не был для Салливана родным. Старший из семи детей, он пошел против родителей-хиппи – его отец был скульптором и художником, мать школьной учительницей и писательницей – и поступил в юридическую школу153. В то время, когда юные предприниматели с воодушевлением создавали софт, федеральный обвинитель Салливан потратил молодые годы на борьбу с худшими пороками человечества. Роберт С. Мюллер, отмеченный наградами герой войны и впоследствии спецпрокурор, проводивший расследование в отношении президента США Д. Трампа, лично выбрал Салливана для работы на престижной должности в подразделении по борьбе с киберпреступлениями офиса прокурора Северного дистрикта Сан-Франциско.
Салливан изучал право в университете Майами, где получил степень доктора, после чего занялся практической работой над коммерческими секретами и корпоративным шпионажем времен бума конца 90-х. К 2000 году, когда лопнул пузырь, он уже сделал себе имя.
Высокий, около 188 сантиметров, слегка сутулый, Салливан имел привычку совать руки в карманы. Кустистые каштановые брови и аккуратно причесанные волосы придавали ему мягкий, безобидный вид. Со строгого костюма он перешел сначала на джинсы в стиле «как у папы» и рубашку на пуговицах, а закончил джинсами же, но из разряда «как удобней» и футболкой. Высокие скулы, открытый лоб и широко расставленные глаза придают ему выражение спокойного стоицизма перед лицом сложных проблем информационной безопасности.
Говорил Салливан быстро и четко, с невозмутимостью человека, чье хладнокровие закалено годами юридической практики. Самое большее, что он мог позволить себе, – это легкое движение бровью или сдержанную улыбку, сопровождающую рассказ о славных деньках времен работы прокурором. Он никогда не смеялся, разве что усмехался рассказанной шутке, которую долго хранил как секрет.
Не обладая природной харизмой многословного судебного юриста, он тем не менее нравился людям. Немного странный, но не замкнутый, он был готов много и упорно работать и ловить плохих парней. Все знавшие Джо отзывались о нем как о человеке надежном и заслуживающем доверия.
Несколько лет Салливан расследовал киберпреступления на правительственную зарплату, а потом решил поработать на себя. В 2002 году он получил должность в eBay, энергично развивающейся технологической компании с растущим доходом, блестящими перспективами и миллионами ежедневных аукционов от онлайновых покупателей и продавцов.
И конечно, там хватало жулья. Занимая должность директора по доверию и безопасности, Салливан денно и нощно гонялся за мошенниками, использовавшими платформу, чтобы нагревать новичков на тысячи долларов. Миллионы людей, впервые приходивших на сайт, не были готовы к встрече с обманщиками, выставляющими фейковые серийные игрушки и несуществующие коллекционные бейсбольные биты.
Большинство мошенников не отличались изобретательностью и, совершив сделку, просто не посылали товар покупателю. Но встречались и случаи более изощренные. Так, например, злоумышленник мог предложить доверчивому продавцу провести оплату вне eBay, а потом послать невозвращенный чек. Если продавец жаловался, помочь ему компания не могла, поскольку операция совершалась без ее участия. Самое злостное мошенничество отличалось и особой простотой: продавец отправлял покупателю пустую коробку. Количество таких случаев ежегодно исчислялось десятками тысяч и увеличивалось по мере роста популярности сайта.
В eBay Салливан выполнял работу частично детектива, частично полицейского. Как и в бытность прокурором, он имел дело с ворами и мошенниками. Только теперь было лучше. В суде ему приходилось тщательно подготавливать обвинение, чтобы взять верх над одним-единственным обвиняемым. Может быть, несколькими, если противником был синдикат. В eBay его команды экспертов каждый день ловили сотни мошенников, удаляя их с платформы. Салливан создал целые системы, рассчитанные на обезвреживание плохих парней. И когда большой организованный преступный синдикат приходил и пытался провернуть аферы на eBay, Салливан и его люди вставали на пути злоумышленников.
В истории, рассказывать которую больше всего любил Салливан, фигурировали румыны. Румыния была центром мошенничества. До 2003 года в этой стране не было ни одного закона против киберпреступлений. Прибавьте мягкое отношение к организованной преступности и поколение смышленых программистов, и вы получите настоящую пиратскую бухту. Мошенники обычно предлагали дорогую электронику с большой скидкой, что тут же привлекало к аукциону внимание покупателей. После того как кто-нибудь присылал две тысячи долларов за телевизор с большим экраном, румыны исчезали. Работали злоумышленники из интернет-кафе в Бухаресте и принимали только телеграфный перевод «Вестерн Юнион», что затрудняло полиции их поиски. А поскольку синдикатами заправляли румыны или русские, местные правоохранители никогда дела до конца не доводили, опасаясь за свою безопасность.
Салливан не боялся. После того как он с коллегами разгромил одну из крупнейших криминальных банд, eBay отправил его в Бухарест – выступить на суде в качестве свидетеля. Когда Салливан давал показания, его охраняли двое здоровенных местных полицейских – каждый с «АК-47» и в балаклаве, закрывающей лицо шерстяной маске. Полицейские носили такие, чтобы их не узнали и не убили после суда. Салливан, облачившийся по такому случаю в старую форму, костюм и галстук, провел на свидетельском месте несколько часов, и его показания помогли отправить мошенников за решетку. Маску он не надевал.
После eBay и двух лет в сестринской компании, PayPal, Салливану представился еще более интригующий вариант. В конце 2008 года в молодом, бурно развивающемся стартапе Facebook – численность его пользователей приближалась тогда к 150 миллионам – открылась вакансия в юридическом отделе. Салливан ухватился за шанс. У Facebook наблюдался взрывной рост, амбиции Марка Цукерберга не знали границ. Он хотел вывести в онлайн весь мир и подключить его к своей социальной сети. Отказаться от такой возможности было бы глупо, и Салливан принял предложение.
Если eBay дал ему шанс почувствовать себя «морским котиком», то в Facebook под его началом оказалась собственная частная армия. Как и eBay, Facebook ежедневно притягивал к себе жуликов и аферистов. Но кроме них туда устремлялись педофилы, сталкеры, жаждущие мести отставные бойфренды, шантажисты – перечислять можно до бесконечности. За те шесть с половиной лет, что Салливан провел в Facebook, компания стала крупнейшим в мире хранилищем персональной информации, и он был тем, кто надзирал за всем этим. Уже через год его назначили директором по безопасности компании.
Группа Салливана активно преследовала так называемых bad actors, мерзавцев, избравших соцсеть полем для своих злодеяний. Подавала в суд на спаммеров и скаммеров, засоряющих Facebook мусорными постами. Играла в кошки-мышки с кибертеррористами. Разоблачала и передавала ФБР русских киберпреступников.
К обеспечению безопасности у Салливана был свой, особый подход.
«Многие компании ограничиваются защитой, – сказал он в одном из интервью. – Мы же тратим много времени, пытаясь вычислить, кто находится на другом конце киберпреступления»154.
Примером успешности его тактики может служить такой эпизод. Однажды в выходные Салливану позвонила хорошая знакомая, коллега по работе в Facebook. Просматривая Match.com в поисках партнера для свидания, она наткнулась на некоего рабочего-строителя из Сан-Хосе. Все складывалось удачно, и в какой-то момент женщина послала незнакомцу свое фото топлес. Его ответ серьезно ее встревожил: мужчина написал, что навел справки и знает, что она работает в знаменитой компании. Если она не вышлет ему 10 тысяч долларов, он разошлет фотографию всем ее коллегам.
Салливан знал, что делать. Взяв под контроль аккаунт знакомой на Match.com, он попытался заставить шантажиста раскрыть свою личность. Самый верный способ подтолкнуть скаммера к платежной системе. Зачастую именно онлайновые платежи дают возможность получить ключик к личности злоумышленника. Так, например, некоторые банки блокируют попытки осуществить денежный перевод в определенные области, что сокращает список стран, где может находиться мошенник. Производя оплату, Салливан также намеренно добавлял неверные детали, из-за которых перевод не проходил. После нескольких неудачных попыток шантажист предоставлял более точные данные относительно своего местонахождения.
Отслеживая действия шантажиста внутри платежной системы, Салливан вышел на бывшего стажера Google, находящегося теперь в Нигерии. Узнав адрес злоумышленника в Лагосе, Салливан поручил местному адвокату встретиться с ним в кафе. Разоблаченный стажер сознался в мошенничестве и передал всю свою персональную информацию.