Взлом Ashley Madison: 5 уроков для руководителей

ef535b402ced4fea858880ce4cdc1268.jpg

В наших блогах на Хабре и Мегамозге мы рассказываем о том, какие действия предпринимаем для создания лучшего облачного сервиса в Рунете и том, какие подходы к управлению кажутся нам эффективными. Сегодня речь пойдет о том, каких ошибок не нужно совершать — на примере скандала вокруг сервиса для супружеских измен Ashley Madison.

Немного истории


Основанный в 2002 году Ashley Madison за более чем 10 лет своей жизни набрал большую популярность и научился неплохо зарабатывать (выручка в 2013 году составила $125 млн). Сооснователь сервиса Ноэль Бидерман был настоящей звездой интернет-предпринимательства и наслаждался славой «самого ненавистного человека на Земле», который зарабатывает на супружеских изменах. Компания готовилась к IPO на Лондонской бирже, чтобы привлечь $200 млн на дальнейшее развитие.

В августе 2015 году этой идиллии наступил конец — хакеры из кибергруппы Impact Team взломали сайт и выложили десятки гигабайт личных данных пользователей, среди которых оказалось и немало известных личностей (например, бывший премьер-министр Великобритании Тони Блэр). Взлом сопровождался чередой скандалов — хакеры заявили о том, что Ashley Madison не удалял данные пользователей, которые заплатили за это, а большая часть девушек на сайте были ботами.

Репутации проекта был нанесен огромный ущерб, и его CEO и сооснователь Бидерман был вынужден покинуть свою компанию «по соглашению сторон». Что же стало причиной такого провала, и какие уроки могут из него вынести другие предприниматели и руководители бизнеса?

Скандальный имидж имеет свои минусы


Сама идея Ashley Madison была скандальной — сайт предназначался для поиска партнеров для супружеских измен. Компания старательно подогревала свой скандальный имидж, выпуская креативную рекламу. Основатель сервиса в своих многочисленных интервью делал заявления в духе того, что его проект, наоборот, помогает сохранить семью, и даже выпустил книгу под названием «Как неверность спасает современные браки».

22f2ce388ad64419897161982a33ec23.jpg

Кроме того, Бидерман запускал скандальные проекты вроде Hotornot, пользователям которых предлагалось оценивать девушек и парней (похоже на Facemash из фильма «Социальная сеть»).

Подобный имидж подогревал интерес к сервису и открывал новые возможности для его продвижения, однако когда Ashley Madison оказался в эпицентре скандала, выяснилось, что сторонников у его основателя нет даже в руководстве собственной компании — в итоге ему пришлось покинуть ее, хотя еще недавно он заявлял о том, что не мыслит себя без этого проекта.

Вывод: Если вы делаете ставку на скандальный имидж, то бизнес должен работать идеально, поскольку каждая ваша ошибка при наличии подобной славы будет рассматриваться под микроскопом, и поддержки ждать будет неоткуда.

Защита информации очень важна


Помимо собственно неспособности защитить данные пользователей и выполнить данные им обещания, хакеры продемонстрировали доказательства еще одного промаха руководства Ashey Madison. Согласно опубликованной переписке руководителей, еще в ноябре 2012 года тогдашний CTO проекта Раджа Бхатиа (Raja Bhatia) заявлял о том, что взломал конкурирующий сайт Nerve.com и смог скачать «всю их базу данных», а также изменять информацию в ней («создавать сообщения в диалогах, просматривать статистику»).

В ходе переписки Бхатиа также заявил о том, что и у Ashley Madison есть проблемы с безопасностью («мы храним данные в открытом виде») — при этом с 2012 года (а проблема очевидно, присутствовала и ранее) ничего для исправления ситуации сделано не было.

Вывод: Если не обращать внимания на проблемы с безопасностью, не стоит удивляться, когда кто-нибудь воспользуется существующими уязвимостями.

Ложь помогает на короткой дистанции и губительна на длинной


В отличие от сервисов знакомств вроде Tinder, в Ashley Madison мужчины должны были платить за общение с девушками. Бидерман говорил, что это помогает отсечь неплатежеспособную аудиторию. Эти усилия оправдались — средний возвраст мужчин на сайте составлял 40 лет.

За сумму в $49 пользователь получил определенное количество «кредитов», которые затем можно было потратить на отправку примерно 20 писем дамам. Кроме того, сервис оказывал и другие платные услуги — за $20 в месяц можно было выбрать специальную «программу путешествий», облегчающую измены в поездках (например, в командировках), существовала также опция выделения анкеты в топ. Присутствовала и возможность за отдельную плату ($19) полностью удалить всю информацию о себе из базы данных ресурса.

По оценкам Forbes, в среднем, мужчины тратили на сайте по $200-$300 в год. Активное продвижение и усилия по монетизации позволили сервису увеличить выручку с $40 млн в 2010 году до $125 млн в 2013-м.

Хакеры, совершившие взлом, утверждают (журналисты уже подтвердили эти заявления), что на сайте практически не было живых женщин — мужчины общались либо с ботами, либо с модераторами, которые были членами команды сервиса. Учитывая, что для мужчин такое общение было платным, получается, что из них просто выкачивали деньги.

a1943056cad74c649f6aafc6d15f0b9e.jpg

Очевидно, что после столь масштабного скандала, восстановить репутацию компании будет практически невозможно. Недовольные клиенты уже начинают подавать на компанию в суд — в Канаде, где она зарегистрирована, зарегистрирован коллективный иск на $578 млн от пользователей, чья персональная информация попала в сеть в результате взлома.

Вопросы к сервису, который, фактически, зарабатывал на обмане, могут появиться и у властей разных стран.

Вывод: ложь может помогать добиваться хороших финансовых результатов на коротком промежутке времени, но когда тайное станет явным, оправиться от такого удара бизнесу будет крайне нелегко.

Компания должна выполнять свои обещания


Одним из главных поводов для скандала вокруг Ashley Madison стал даже не сам факт взлома сервиса, а опубликованная хакерами информация о том, что компания обманывала пользователей. В частности, в сеть попала личная информация даже тех пользователей, которые отдельно заплатили сервису за удаление всех данных о себе.

87d16c0621de4b7b968cc520529ecd97.jpg

Платежная информация все равно сохранялась в системе для защиты от фрода —, но никто не говорил об этом пользователям.

Вывод: Обещания нужно выполнять, если это возможно лишь с определенными оговорками, клиенты должны об этом знать.

При возникновении проблем, нужно честно сказать об этом


В случае взлома оповещение пользователей, которые могли пострадать — является важнейшей составляющей усилий по минимизации ущерба. В случае же Ashley Madison компания не предупредила своих пользователей, и даже когда начался шум в СМИ, сервис выпустил заявление о том, что информация в публикациях «тщательно проверяется» (в этот момент в сети уже были опубликованы сервисы для проверки наличия своего email в «слитой» базе).

Вопрос о том, почему никто не предупредил пользователей, стал одной из центральных претензий к Ashley Madison (и попал в топ-10 вопросов к руководству сервиса от The Guardian).

Вывод: Если компания, хочет минимизировать репутационные издержки в случае хакерской атаки, первое, что ей нужно сделать — оповестить пользователей и рассказать, что им сделать для защиты.

© Megamozg