На протяжении многих лет команда безопасности была в значительной степени отодвинута на второй план двумя руководителями, которые не проявляли активного интереса к их работе и не требовали от них отчетов. «Их информировали о крупных проблемах, например когда хакеры из Северной Кореи или Китая пытались проникнуть на платформу, – говорит один из инженеров команды безопасности. – Но они не настаивали на регулярных встречах по вопросам угроз безопасности и даже не интересовались мнением команды. Создавалось впечатление, что они предпочли бы, чтобы вопросы безопасности решались тихо и незаметно где-нибудь в уголке, чтобы им самим не нужно было регулярно думать об этом».
Моран и другие члены группы аналитики угроз находились в Вашингтоне, в то время как остальная команда размещалась в небольшом здании на окраине разросшегося кампуса Facebook. Независимо от того, сколько путей вело к Сэндберг, компания все еще была главным образом сосредоточена на инженерах. Команды, которые разрабатывали новые продукты, стимулировали рост и отслеживали количество часов, проводимых пользователями на платформе каждый день, подчинялись непосредственно Цукербергу. Той весной они были заняты реализацией его смелой десятилетней концепции развития компании, которая включала в себя крупные шаги в области искусственного интеллекта и виртуальной реальности.
Остальной мир постепенно узнавал о масштабах деятельности России. 14 июня компания CrowdStrike, специализирующаяся на кибербезопасности, нанятая Национальным комитетом Демократической партии США, объявила, что нашла неоспоримые доказательства того, что хакеры, связанные с российским правительством, получили доступ к имейлам высокопоставленных членов Демократической партии, включая людей из кампании Клинтон89. В течение нескольких недель еще две компании, занимающиеся кибербезопасностью, ThreatConnect и Secureworks, присоединились к CrowdStrike и опубликовали независимые отчеты с техническими подробностями методов злоумышленников90. В этих отчетах описывалось, как русские обманом заставили сотрудников предвыборного штаба Демократической партии раскрыть свои пароли электронной почты. Кроме того, в Twitter и других социальных сетях внезапно появились подозрительные аккаунты с именами вроде Guccifer 2.0, предлагающие поделиться взломанными документами с заинтересованными журналистами.
Эти сообщения подтверждали то, что видел Моран. Масштабы плана российских хакеров не были похожи на что-либо ранее осуществлявшееся на территории США. Это были те же самые хакеры, за которыми он наблюдал в течение многих лет, и, хотя многие методы были уже ему знакомы, кое-что все же было в новинку. Его команда знала, что российские хакеры прощупывали аккаунты людей, близких к кампании Клинтон; теперь Моран хотел вернуться назад и выяснить, не ускользнуло ли от них что-то еще на платформе. Отчеты дали команде безопасности руководство по поиску русских в системах Facebook.
С помощью деталей из отчетов Моран определил подозрительную страницу под названием DCLeaks. С момента своего создания страница делилась историями о взломе Национального комитета Демократической партии. Команда Морана обнаружила похожие аккаунты, включая один, который создал страницу в Facebook под названием Fancy Bear Hack Team («Команда хакеров Fancy Bear»). CrowdStrike и другие компании по кибербезопасности окрестили одну из команд российских проправительственных хакеров Fancy Bear («Модный медведь»), и англоязычная пресса подхватила это броское название. Российские хакеры, использовавшие это название на своей странице в Facebook, похоже, издевались над неспособностью Facebook найти их. На странице содержались данные, украденные у Всемирного антидопингового агентства, – еще одна стрелка, указывающая на Кремль: в последние несколько лет Россия не раз была поймана на применении допинга среди своих спортсменов и использовании других уловок, чтобы завоевать медали на Олимпийских играх и других спортивных соревнованиях91.
У Facebook не было никакой программы действий в ситуации с российскими хакерами, никакого руководства по действиям, если неавторизованный аккаунт распространяет украденные имейлы на платформе, чтобы повлиять на освещение новостей в США. Доказательства были очевидны: российские хакеры, выдававшие себя за американцев, создавали группы в Facebook и координировали свои действия друг с другом, чтобы манипулировать гражданами США. Но в Facebook не было правила, запрещающего это.
Как ни странно, хакеры использовали Facebook именно так, как это было задумано. Они устанавливали связи с людьми по всему миру и общались с ними в рамках общих интересов. Они создавали группы в Facebook и использовали их для распространения своих идей. То, что чаты были посвящены взломанной электронной почте, а страницы и группы – пропаганде теорий заговора о Клинтон, было неактуально. Facebook облегчила хакерам задачу по охвату аудитории.
Хакеры также знали, что пикантные подробности во взломанных имейлах станут пищей для экстремистских сайтов и групп, которые будут раздувать материалы, связанные с Клинтон. Русские рассылали электронные письма стратегически, чтобы добиться максимального эффекта. Незадолго до Национального съезда Демократической партии в июле 2016 года на WikiLeaks внезапно появилось около двадцати тысяч электронных писем из Национального комитета Демократической партии. Письма показали, что руководители комитета выделяли фаворитов из кандидатов от демократов на пост президента. В частности, председатель комитета Дебби Вассерман-Шульц, как оказалось, продвигала Клинтон в ущерб Берни Сандерсу, прогрессивному сенатору от Вермонта. Эти имейлы попали на первые полосы газет, и Вассерман-Шульц была вынуждена уйти в отставку92.
Еще одна порция электронных писем, на этот раз от Джона Подесты, главы кампании Клинтон, была опубликована как раз в тот момент, когда кампания Трампа переживала один из своих самых серьезных конфузов – публикацию записи Access Hollywood, на которой тогдашняя звезда реалити-шоу Трамп пренебрежительно говорил о поцелуях, ощупывании и хватании женщин без их согласия. Имейлы Подесты, в которых рассказывалось о грязных разборках в ходе предвыборной кампании и содержались постыдные откровения, например о том, что Клинтон заранее показали вопрос, который позднее был задан ей на встрече с избирателями93, помогли отвлечь внимание от записи Access Hollywood и самого Трампа и в очередной раз поставить кампанию Клинтон в неловкое положение. Российские хакеры, по сути, стали самыми влиятельными в мире редакторами новостей, подталкивая журналистов к написанию статей и стимулируя их обещаниями еще более пикантных подробностей от членов Демократической партии. Это был идеальный кликбейт для Facebook: его трудно было игнорировать, и он был создан для того, чтобы им делиться. Как только новость об одном письме начинала утихать, хакеры готовили новую утечку.
Чем больше Моран и остальные члены команды Facebook исследовали информацию, тем больше они убеждались в том, что аккаунты связаны между собой и с Россией. Хакеры действовали небрежно, иногда забывая включить VPN, который мог бы скрыть их местоположение, или оставляли другие следы, указывающие на их базирование в России и связь друг с другом. На протяжении июля и августа Стэймос и его команда подавали Колину Стретчу отчет за отчетом о российской деятельности. В одном из них Моран писал, что наблюдал, как владелец страницы DCLeaks в Facebook общался с журналистом в режиме реального времени по поводу взломанной электронной почты. Журналист, работавший на правое издание, настаивал на том, чтобы имейлы были отправлены ему как можно скорее, пусть даже в сыром виде, и прислушивался к советам насчет того, как лучше «построить историю» вокруг них.
Через несколько дней вышла статья этого журналиста, в которой приводились подробные цитаты из взломанных имейлов кампании Клинтон. Моран чувствовал себя ответственным за происходящее.
До работы в Facebook начальник Морана Алекс Стэймос прославился в мире кибербезопасности тем, что забил тревогу в Yahoo. В апреле 2015 года он распахнул двери офиса компании в центре Сан-Франциско и пригласил несколько сотен журналистов, экспертов по кибербезопасности и ученых на конференцию, которую он назвал «Неконференция». Цель мероприятия заключалась в том, чтобы указать на провалы в деле защиты пользователей интернета, а не в том, чтобы отметить новейшие технологии, как обычно происходит на конференциях по кибербезопасности.
В то время Стэймос был сотрудником отдела информационной безопасности компании Yahoo и одним из самых молодых и известных экспертов по кибербезопасности в Кремниевой долине94. Он вырос в калифорнийском хакерском сообществе, был талантливым программистом и получил степень по электротехнике и информатике в Калифорнийском университете в Беркли. К тридцати пяти годам он основал и продал успешную компанию по кибербезопасности iSEC Partners. Его не раз приглашали для консультаций самые влиятельные компании Кремниевой долины, обнаружившие в своих сетях русских и китайских хакеров.
В большинстве случаев хакеры находились там годами, и Стэймос был потрясен тем, насколько уязвимыми были компании для относительно простых атак. «Я хотел обратить внимание на тот факт, что индустрия безопасности отклонилась от того, что мы все называем нашей миссией: обеспечение безопасности людей, – сказал он. – Компании не считают безопасность приоритетом и полагаются на слишком сложные системы, которые делают и их, и пользователей уязвимыми для атак». Он использовал аналогию с домом: вместо того чтобы создать прочную защищенную структуру и надежно запереть все двери, компании создавали эквивалент многоэтажных домов с хрупкими окнами. Хакеру нужно было просто выждать, и рано или поздно компания забудет запереть какую-нибудь дверь.
Сотни людей собрались на основной доклад Стэймоса в неприметном конференц-зале. Он нервно пробирался сквозь толпу, перебрасываясь с людьми типичными для него короткими фразами. Выйдя на трибуну, он заправил в брюки красную клетчатую рубашку, одернул края серого пиджака и засунул руки в карманы. Люди еще стояли и болтали, когда Стэймос, не желая больше ждать, начал свою речь.
«Я недоволен тем, – начал он, – в каком состоянии мы находимся как отрасль».
По его словам, технологические компании не думают о потребностях обычных людей в плане конфиденциальности и безопасности. Корпорации, занимающиеся кибербезопасностью, больше заинтересованы в продаже броских и дорогих технологий, чем в предоставлении базовых средств защиты, которые могут позволить себе небольшие фирмы. С каждым годом истории о взломах, затрагивающих миллионы людей, становятся все более распространенными. Личная информация людей, включая номера социального страхования и данные кредитных карт, все чаще продается и используется хакерами для обмена на интернет-форумах.
Многие в зале кивали, слушая его. Стэймос не стал упоминать этого в своей речи, но он все больше беспокоился о практике собственной компании в области безопасности. И на то были причины. Всего через несколько недель после «Неконференции» его команда обнаружила уязвимость, которая позволяла проникнуть в системы Yahoo и просмотреть электронную почту пользователя. Стэймос поспешил проверить, не ответственны ли за взлом русские или китайские хакеры. Вместо этого он обнаружил, что уязвимость была встроена в систему намеренно, с одобрения генерального директора Мариссы Майер, чтобы позволить правительству США тайно следить за пользователями электронной почты Yahoo95. «Это было огромным кризисом доверия, – сказал он. – Я не мог бездействовать и смотреть на это». Менее чем через месяц он ушел из Yahoo. Когда роль Майер в предоставлении правительству секретного доступа стала достоянием общественности, разразился скандал на всю страну.
В кругах кибербезопасности Стэймос стал известен как «канарейка». На рубеже двадцатого века канареек запускали в угольные шахты, расположенные глубоко под землей. Если птицы умирали, это был безмолвный сигнал о том, что в воздух попал токсичный газ и шахта небезопасна для работников. В середине 2000-х годов интернет-компании стали использовать выражение «свидетельство канарейки». Они стали получать тайные повестки от правительства на доступ к данным – запросы были настолько секретными, что даже упоминать об их существовании было незаконно. Чтобы обходным путем предупредить пользователей о том, что к их данным есть доступ, интернет-компании стали размещать на своих сайтах крошечные изображения желтых канареек или сообщения о том, что все в порядке. Если в один прекрасный день канарейка исчезала, это означало, что компании была вручена такая секретная повестка. Эксперты и защитники права на конфиденциальность знали, что нужно искать канареек и бить тревогу, если одна из них вдруг исчезнет.
Когда Стэймос ушел из Yahoo, это был знак: там что-то не в порядке. Однако его приход в Facebook показал, что он увидел в компании нечто, ради чего там стоило работать.