Читаем На взводе. Битва за Uber полностью

Однако в 2014 году команда Квентина отыскала обходной путь. После релиза мобильной версии iOS с полдюжины возникших ниоткуда компаний заявили, что им по силам обнаружить те самые священные идентификационные номера телефонов – IMEI. Квентин проверил некоторые из них и остановился на InAuth, Inc., небольшой фирме, базировавшейся в Бостоне. Добавив небольшой код в мобильное приложение, InAuth смогла отследить идентификационный номер айфона, установившего это приложение, с помощью методики фингерпринтинга, применяющейся в сфере безопасности. После «снятия отпечатков» Uber без труда определил, использовалось устройство для мошенничества или нет. Уже через несколько месяцев после начала работы в компании Квентин подписал контракт с InAuth.

Расчеты оправдались полностью. До того как Uber начал использовать InAuth, жульничество в Китае и крупных городах Азии еженедельно обходилось компании в десятки – а порой даже больше – миллионов долларов. После введения новой версии приложения с установленным кодом InAuth количество случаев мошенничества резко сократилось. При попытке создать новый аккаунт на уже отмеченном устройстве система защиты автоматически включала запрет. Так, после нескольких лет неудачной борьбы с мошенниками Uber нашел способ нанести ответный удар.

Возникла, однако, другая проблема: сервис InAuth вопиющим образом нарушил правила Apple в отношении личных данных пользователя. Поэтому все договоренности между Uber и InAuth требовалось держать в секрете. Если бы Apple узнал об этих договоренностях, обе компании столкнулись бы с серьезными неприятностями, вплоть до исключения приложения из айфона.

Рано или поздно, в какой-то момент своей карьеры, каждый программист в Кремниевой долине вступал в конфликт с запутанными правилами App Store. Каждые полгода Apple обновлял свое мобильное приложение. Создавать мобильный софт, особенно для Apple, значит находиться в состоянии постоянной тревоги и разочарования. Представляя в App Store новые приложения, разработчики ждут ответа, как паломники, явившиеся к дельфийскому оракулу. Случается, Apple соизволяет ответить. Но чаще он просто молчит.

Квентин и его команда обошли правила приватности, потому что понимали: выбора у них нет. Проблему мошенничества требовалось решить, и Apple не оставлял им иного варианта. Если бы Uber и InAuth смогли оставаться в тени и не высовываться, то, возможно, антимошенническая команда не привлекла бы к себе внимания.

Но удача отвернулась от Квентина. В середине ноября 2014 года BuzzFeed рассказал о бесславном обеде, на котором Эмиль Майкл, выступая перед журналистами, проговорился об исследованиях в области противодействия мошенникам¹⁴⁷. Тогда внимание общественности сосредоточилось на Майкле.

Более серьезную ошибку в ходе «пропагандистского наступления» допустил Джош Морер, человек самоуверенный и несдержанный, занимавший должность генерального менеджера Uber в Манхэттене. В интервью на той же неделе он вскользь упомянул раннюю версию Heaven, функции, позволяющей следить за пассажирами во время поездки в режиме настоящего времени. Репортер договорилась о встрече с Морером в тот же день, и Морер хвастливо заявил, что следил за ней на протяжении всего пути. Это высказывание не осталось незамеченным.

Бомба взорвалась через восемь дней после публикации первого рассказа. Скандалы вокруг Uber привлекли внимание предприимчивого хакера из Аризоны по имени Джо Джирон, который декодировал приложение Uber для Android и обнаружил список разрешений на доступ, запрашиваемых приложением после установки¹⁴⁸. Перечень оказался намного длиннее того, к чему привыкло большинство пользователей Uber: телефонная книга, камера, журналы текстовых сообщений, вайфай-соединения. Запрос на такие разрешения выглядел подозрительно для любого приложения, не говоря уже о такси-сервисе. Зачем райдхейлинговому приложению нужен доступ к сообщениям пользователя или камере? Речь могла идти о посягательстве на право клиента на частную жизнь. Uber интересовался не только журналистами, он хотел знать все о каждом пользователе и его телефоне.

Блог-пост вызвал эффект разорвавшейся бомбы. Некоторое время он обсуждался на форумах информационной безопасности и других интернет-сайтах, а потом попал на Hacker News, форум, популярный у инженеров и элиты Кремниевой долины.

Читатели форума не знали, что аризонский хакер наткнулся на секретную библиотеку кодов InAuth, вписанную в приложение Uber как часть тайной сделки. Чтобы «снять отпечатки» девайса, InAuth требовал намного больше информации, чем обычное приложение, и потому запрашивал всевозможные расширенные разрешения. На основании этих данных InAuth создавала профили девайсов для триангуляции IMEI-номера пользователей. Посторонние компании платили миллионы за хитроумный метод. А вот потребители, узнав, какую информацию они, сами того не ведая, предоставляют Uber, были весьма недовольны.