14 июля 14 июл. 40 11K

Как компании ловят источники утечек — рассказывает юрист

Утечки внутренней информации — одна из больших головных болей внутри любой игровой компании. Журналист Джейсон Шрайер (Jason Schreier) поговорил со специалистом по борьбе со сливами и выяснил, как происходит поиск источников утечек.

Собеседником Шрайера стал Дон Макгован (Don McGowan) — эксперт, который раньше был генеральным юристом-консультантом Bungie и главным юристом The Pokémon Company, а также успел поработать в Xbox.

Его основные тезисы:

  • Об утечках чаще всего сообщают сотрудники, которые работают с сообществом.
  • У Bungie достаточно мало внутренних ограничений, «у всех есть доступ ко всему». Это добавляло сложностей.
  • Некоторые сотрудники Bungie сливали информацию, потому что им хотелось поднять авторитет в глазах соклановцев — не коллег по компании, а обычных игроков.
  • Один из интересных феноменов, которые помогали в работе Макгована, — многие люди используют одни и те же никнеймы раз за разом: и в соцсетях, и в адресе своей почты, и в кланах.
  • Реакция Макгована была разной в зависимости от характера утечки. Если утекала информация о разработке, виновника находили и увольняли. Если возникали истории о непристойном поведении на рабочем месте, то источник слива могли найти для того, чтобы определить, насколько это правда и кто себя неподобающе вёл.
  • В штате Вашингтон, где располагается Bungie, очень хорошая защита информаторов — то есть людей, которые сообщают о нарушениях рабочих и законодательных норм внутри компании. В таких случаях Макгован не мог бы уволить информатора, даже если бы хотел. При этом юрист подчёркивает: в первую очередь он защищает людей, так что в принципе не заинтересован увольнять тех, кто сообщает о правонарушениях в компании.

История о поиске источника — раз

По словам Макгована, самая занятная история в его карьере.

Когда я работал в The Pokémon Company, какой-то ребёнок выяснил, как извлекать изображения из карточной игры. Он отыскал иконку от разработчиков и сказал: «Чёрт побери, я нашёл нового покемона!». Этот ребёнок приложил свой имейл, а из-за того, как работали аккаунты Pokémon, когда мы узнали аккаунт ребёнка, то узнали аккаунт его родителей, где был указан номер телефона.

Так что я позвонил его маме и сказал: «Послушайте, я хочу вам рассказать о некоторых вещах, которые Эндрю делает на своём компьютере». Она ответила: «То есть вы хотите сказать, что он взломал вашу игру?». И я слышу на фоне: «Да ничего я не взламывал!». Я стал описывать больше технических деталей. Она сказала: «Это проблема?». Я ответил: «Взлом ПО — это федеральное преступление, но я хочу поговорить не об этом. Почему бы не поговорить о том, что хорошего и плохого он может делать на своём компьютере».

А ребёнок писал обо всём в «Твиттере» прямо по ходу дела. Вот его твиты:

— Pokémon позвонили прямо ко мне домой.
— Что такое юрист-консультант, чёрт побери?!
— Теперь я знаю, что поступил неправильно, и больше никогда так не поступлю.

Это была просто фантастика. Это была просто легенда в The Pokémon Company ещё лет пять.

История о поиске источника — два

Bungie — полностью удалённая компания. Там логи по логинам были для меня бесполезны. Очень полезны были логи из Confluence. Моя первая мысль — нужно убедиться, что утечка настоящая, потому что многие утечки — это лишь логические умозаключения. Моя следующая мысль — у кого есть доступ?

У нас был случай с создателем контента. Мы проводили день сообщества, где мы собирали группу создателей контента из сообщества и запускали стрим. Один из них снял экран своего ПК со стримом и опубликовал фото, чтобы набрать влияния. Не под своим именем, а просто слил их, чтобы набрать веса среди веб-сайтов, которым он сливал информацию.

Мы об этом догадались. Кто был среди стримеров на том созвоне? Их было 12. Давайте присмотримся к этим стримерам. У одного из них было два ПК, и однажды он стримил со своего второго ПК. Мы увидели иконки в нижней части его экрана — они были точно такие же, как на одной из его фотографий. Отлично, это наш подозреваемый. Мы назначили с ним созвон.

Он начал говорить: «Это, наверное, мой сосед по дому зашёл и сфоткал мой экран». Во-первых, нам плевать. Во-вторых, что намного важнее, это было не так. Потому что если взглянуть на угол камеры, можно понять, что фотограф держал камеру в правой руке. Мы видим твою комнату прямо сейчас. Дверь у тебя слева. Так что-либо твой сосед зашёл, встал у тебя за спиной справа и сделал фото, а ты и не заметил, либо ты сделал фотографию сам.

Мы забанили его для будущего контента. И для верности забанили его аккаунт в игре. Он обнаружил, что его забанили, прямо когда запускал стрим.


Поддержи Стопгейм!

Лучшие комментарии

Так что я позвонил его маме и сказал: ...... Взлом ПО — это федеральное преступление

страшно стало, из-за картинок покемонов малолетний федеральный преступник 😄

«Взлом ПО — это федеральное преступление, но я хочу поговорить не об этом. Почему бы не поговорить о том, что хорошего и плохого он может делать на своём компьютере».

Я только не понял одну деталь — а это был какой-то внутренний или публичный билд? Просто если таки публичный и никакую деталь не упустили — то выходит, что
Дон Макгован гордится, что он просто запугал ребенка и его маму, пользуясь тем, что они просто не грамотные были.

Рэкетиры примерно так же себя ведут. Говорят «делай как тебе говорят, или будет хуже». Было бы лучше если бы он сделал хуже? Нет, было бы лучше если бы таких людей вообще не было. Нарушил ли пацан закон извлеча картинку из игры? В америке законы, конечно, отшибленные напрочь, и антиконсьюмерские донельзя, но даже там судья вряд ли согласится с тем что ребенок, добывший картинку без использования специализировнных инструментов — это злостный хакер, причинивший дикий ущерб компании. А что нинтенда просто гораздо больше денег может потратить на судебные тяжбы, и даже вот нанять чувака который будет звонить и угрожать родственникам своих игроков — то это мы возвращаемся к тому что это по сути рэкет.

Ты же понимаешь, что защита интеллелктуальной собственности до ужаса растянутое понятие куда можно притянуть любую херню и называть это «сделал свою работу»? «Не запугал а объяснил», это что за 1984? Если бы он НЕ использовал в своих словах «взлом по это федеральное преступление „но щас не об этом))))“, тогда об этом можно было бы говорить, а так. Запугал. Очевидно и объективно.

Ты серьезно не видишь разницы между извлечением картинки со своего жесткого диска и взломом чужого аккаунта на облаке? Я не понимаю к чему вся эта демагогия нужна.

Как показывает опыт Larian — так ли

Ты ставишь телегу поперед лошади. «если парень нарушил закон». Вообще-то факт нарушения закона устанавливает суд. То что чувак из СБ считает что он нарушил закон еще не делает это правдой. Я вот думаю что закон нарушил именно СБшник, получив неправомерный доступ к номеру телефона. Но понятно что перспектива суда пугает обычную семью куда больше чем огромную корпорацию, и именно поэтому то, что сделал СБшник — это запугивание. То есть самый что ни на есть рэкет.

А кто сказал что я хочу первого варианта? Я хочу вариант третий, где корпорации уважают мое право «получать и распространять информацию и идеи любыми средствами и независимо от государственных границ» (ст.19 всеобщей декларации прав человека) и не натравливают на меня СБшников за то, что они посчитали нарушением своей интеллектуальной собственности. Ты в который раз исходишь из того, что было совершено преступление, просто формулируешь это разными способами. А я в который раз пытаюсь донести мысль, что преступлением это было, скорее всего, только с точки зрения юристов нинтенды, а настоящее преступление — это когда огромные корпорации запугивают обычных людей судебными исками

Он звонит семье, объясняет, что делать можно, а чего нельзя

Вот давайте я как нибудь без рэкетиров буду для себя решать что мне можно, а что нельзя. Нинтенде только волю дай, она тебе тут же объяснит что жить и при этом не платить им кучу денег за каждый чих — нельзя.

Согласен. Более того, взлом своей копии ПО не федеральное преступление ни разу в США. Вот если бы он публично опубликовал инструменты и объяснил способы, тогда уже можно было поныть. А он судя по всему иконку показал. Ей богу, лучше бы предложили ему учёбу, и когда достигнет совершеннолетия, взяли на работу.

Подтверждают. Игра слов: «не так ли — так ли».

Да, факт совершения преступления действительно устанавливает суд. Ты прав. Но СБшник не может исходить из мнения суда, т.к. чтобы его получить нужно сначала направить иск. Ну и мы снова возвращаемся к нашей развилке с 2 вариантами:

1) Чувак подаёт в суд. На парнишку с большой вероятностью накладывают штраф.

2) Он звонит семье, объясняет, что делать можно, а чего нельзя. Суда нет, штрафа нет, копание в ПО прекращено, семья довольна, компания довольна.

Как вообще можно хотеть первого варианта при возможности второго, я просто не понимаю.

Ты покопался в ПО, нарушив лицензионное соглашение и предположительно ФЗ, вытащил данные, которые не предполагались быть публичными и опубликовал их. Ты предпочтёшь получить повестку в суд или предупреждение от компании? Ну вот серьёзно, тут вообще есть выбор?

Касательно номера телефона. Родители предоставили его компании добровольно. Компания им позвонила. Что тут незаконного?

Неважно сколько ты заплатил, система приобретения работает даже с бесплатными играми.

Во вторых — не работает это так, кто тебе сказал то такое?

Просматривание мною законодательства РФ, Юристы США, ролик от Росса Скотта про игры-сервисы. 

почти всегда встают на сторону владельца авторских прав, а не кулхацкера решившего понтануться в твиттере.

Ошибка выжившего. Представь количество взломов и количество взломов которые оказались в суде. Поэтому я и сказал, что каждую ситуацию разбирают отдельно и до суда доходят чаще, где действительно пострадали авторские права и виноват кулхацкер. Это точно не та ситуация.

Нет, публичный релиз игры не может быть «конфиденциальной информацией». И ковыряться в файлах на своем компе ты можешь как угодно. И рассказывать о том что ты нашел ты тоже можешь сколько угодно. А то по такой логике получается что издатель может тебе запретить стримить, и даже публиковать скриншоты. И вообще рассказывать об игре, ведь это «конфиденциальная информация».

Компилятор тут вообще не при делах, датамайнеры пользуются совершенно другими инструментами. И я не думаю что паренек занимался распаковкой ресурсов, я думаю он действительно случайно наткнулся на не задокументированную функцию. А СБшник банально наврал, чтобы запугать.

Из того, что ты привёл прямо следует, что я могу взламывать кого захочу и распространять эту инфу, как мне угодно. Мечта, а не мир.

Кого хочешь не можешь, а ресурсы КУПЛЕННЫХ ТОБОЙ игр, которые после этого становятся твоей собственностью — можешь. А вот если публично объяснишь КАК ты взломал и покажешь всем, то уже молись.

Твой поинт что если файлы игры на твоём компе значит с ними можно делать что угодно.

Ты официально купил копию игры. Ты можешь делать с ней что угодно. Это прописано в некоторых законах напрямую, а в некоторых косвенно следует из того факта что копия игры является твоей собственностью (даже купленная в стиме в цифре, и это прописано, фз тут важнее лиц. соглашения стима). Ты можешь выложить картинку, и тебе ничего не должно быть за это. Но ты не можешь утверждать что она твоя и оригинальная, и продавать начинать, а так же объяснять методы взлома. Айклауд другого человека не является твоей собственностью ни в каком виде. Поэтому это изначально незаконно. А в случае с игрой законно, вот и всё. Аналогия не может быть аргументом и аналогия твоя херня. Именно поэтому большинство судов разбирают каждый случай отдельно, а не «обобщают логику» идиотским способом.

«Объективнее» некуда.

Что должен был сказать сотрудник, чтобы обрисовать серьёзность ситуации родителю? Если у них это федеральное преступление, то это не более, чем констатация факта. Если, прочитав эту статью, ты придумал себе злобного юриста, который растягивает понятие защиты интеллектуальной собственности как хочет, а я решил, что юрист, знающий законы, делал свою работу более человечно, чем мог бы, то нам просто не о чем тут говорить — у нас слишком разная картина произошедшего.

А ты лучше работаешь, когда на тебя толпа смотрит?)

Ну так я возьму да скучаю твой айклауд. Всё, теперь это мои файлы?

Ты серьезно спрашиваешь или просто паясничаешь?

И мне лично за 15 лет моддинга ни разу не везло найти не запакованные ресурсы игры, всегда нужен компилятор

15 лет моддинга? Скажи-ка дяденька, а ты вообще знаешь кто такой «компилятор» и что он делает? И сколько ты написал своих «компиляторов» за 15 лет моддинга? Пожалуйста, перестань писать бред.

Сейчас бы рассуждать о крутости открытой разработки Лариан которую практикуют только Лариан и инди разработчики, в мире в котором 99% игр крупнее В-сегмента были сделаны без этой практики, от игр Рокстар которые вешают любого кто хотя бы думает о сливах, до Кодзимы который в Твиттер посты делает, но о внутренней кухне там ни намёка. 

Я не буду даже проверять эту статью 19. Из того, что ты привёл прямо следует, что я могу взламывать кого захочу и распространять эту инфу, как мне угодно. Мечта, а не мир.

Я не буду продолжать этот бессмысленный зазговор, в котором ты предупреждение со стороны юриста, как его вижу я, упорно называешь запугиванием.

Читай также