Секрет Zoom: как сотрудник компании помогал властям КНР следить за пользователями

Фото Annette Riedl / picture alliance via Getty Images
Фото Annette Riedl / picture alliance via Getty Images
Вместе с успехом Zoom ждали и неприятности — и вовсе не со стороны финансовых рынков. В декабре выяснилось — один из сотрудников компании передавал данные пользователей китайским властям, а те использовали их в своих интересах, в том числе для запугивания граждан. Zoom пришлось оправдываться по одному из самых щекотливых вопросов — конфиденциальности данных о пользователях. Но как такое стало возможным?

Вне конкуренции

«Многие компании сильно выросли во время пандемии, но только Zoom стал культурным феноменом». Нетрудно согласиться с Пилитой Кларк (Pilita Clark), написавшей об этом в Financial Times. Такого не удалось даже Amazon, несмотря на то что Джефф Безос стал самым богатым человеком в мире: вы легко поймете собеседника, если он скажет, что ему пора зумить, но никто (пока) не говорит, что собирается немного поамазонить.

Почему же при обилии доступных онлайн-видеоплатформ — достаточно назвать хотя бы Microsoft Teams, Google Meet, Cisco Webex, GoToMeeting, не говоря уже про давно существующий Skype, — именно Zoom стал главным приложением для миллионов пользователей? Еще в декабре 2019-го число «зумеров» составляло 10 млн в день, а меньше чем через полгода, в апреле 2020-го — 300 млн в день. В том же апреле ежедневное число пользователей Microsoft Teams составило только 200 млн, а Google Meet — 100 млн.

«Теперь работать будем в два раза больше»: Касперский о последствиях пандемии, «русском Илоне Маске» и Zoom

Одна из наиболее часто упоминаемых причин — это простота использования и практическая бесплатность для встреч в Zoom до 40 минут. Еще вспоминают такие удобные для пользователей качества, как возможность увидеть сразу много участников на одном экране, при этом под каждым лицом будет подписано имя, что особенно удобно для большой аудитории. Наконец, немалую роль сыграли маркетинговые усилия компании и внимание прессы.

Колумнист FT и бизнес-тренер Майкл Скапинкер (Michael Skapinker), которому приходится пользоваться разными видеоплатформами для своих семинаров, решил сравнить их с авиакомпаниями, поскольку вместо полетов ему теперь приходится использовать видеосвязь. В высшую лигу не попал никто — «ни одна платформа по классу не может сравниться с Emirates или Singapore Airlines. Zoom — это для меня как Cathay Pacific». А остальные — Microsoft Teams неплох, но уступает Zoom в плане интуитивно понятного пользователю интерфейса, так что он — аналог British Airways. Google Meet хорош для встречи нескольких человек, но, если участников много, встреча становится слишком хаотичной, так что это — хорошо известный дискаунтер Ryanair.

Миллиарды за мессенджер: зачем Salesforce купила Slack

О несомненном успехе компании говорит не только рост числа пользователей, но и финансовые показатели. Ее рыночная капитализация на середину января составила $110 млрд — это почти вдвое выше, чем в среднем по отрасли Software ($60 млрд). Продажи в III квартале 2020 года (последний, за который есть отчетность) выросли на 367% по сравнению с годом ранее, а прибыль в расчете на одну акцию (EPS) — на 6500%! Стоит ли говорить, что у конкурентов аналогичные показатели в десятки, а то и в сотни раз меньше. Так в чем же секрет Zoom, если он есть?

Единорог из Китая

Компания Zoom Video Communications, Inc. была основана в апреле 2011 года Эриком Юаном (Eric Yuan), который незадолго до этого был вице-президентом Cisco, отвечавшим за развитие ее видеоплатформы Webex. Он решил расстаться с Cisco (и захватил с собой 40 ее сотрудников) после того, как долго и безуспешно пытался доказать руководству, что видеоплатформу нужно сделать проще, быстрее, а главное — она должна бесперебойно работать на смартфоне.

Юан родился в 1970 году в провинции Шаньдун на востоке Китая, там же окончил университет по специальности «прикладная математика и компьютерная техника», а затем получил магистерскую степень по инженерной геологии в Пекине. Интерес к видеоконференциям у него появился в студенческие годы из-за долгих 10-часовых поездок к своей подруге — будущей жене. Через некоторое время после завершения учебы он отправился на стажировку в Японию, где в 1995 году попал на выступление Билла Гейтса — тот говорил о захватывающих перспективах тогда еще молодого интернета. Выступление произвело на Юана такое впечатление, что он решил перебраться в Кремниевую долину в Калифорнии, посчитав, что именно там найдет себе подходящее применение. Восемь раз американское консульство отказывало ему в визе, однако он продолжал подавать документы в течение двух лет, пока на девятый раз, в 1997-м, ему все же разрешили въехать в США. В Калифорнии он поступил на работу в технологический стартап Webex, который только набирал персонал — Юан был одним из первых 20 наемных сотрудников. Он плохо говорил по-английски, поэтому, по его словам, мало с кем общался и ему оставалось только работать — писать программный код. 

Конец эпохи Zoom: как главный сервис пандемии переживает обвинения в утечке данных и изобретение вакцины от коронавируса

Через 10 лет Webex была приобретена Cisco, а Юан стал вице-президентом по проектированию. Он пытался убедить боссов в актуальности своей идеи —  разработать приложение для телеконференций для массового потребителя, однако Cisco хотели создать «Facebook для предприятия», как он выразился позднее в интервью Forbes: «Они сделали ошибку. Через три года после того, как я ушел, они поняли, что я был прав».

Покинув Cisco, Юан основал новую компанию, которая называлась Saasbee. Однако ему не удавалось найти инвесторов — большинство считало, что рынок видеотелефонии уже насыщен и новым участникам на нем нет места. Как намного позже вспоминал Юан в одном из интервью, проблема этих продуктов была в том, что они не слишком нравились пользователям, поэтому шанс создать что-то новое существовал. К тому же тогда никто всерьез не думал о видеоконференциях через смартфоны.

Через несколько месяцев Юан сумел убедить нескольких своих знакомых (в том числе основателя Webex, бывшего вице-президента Cisco и немногочисленных венчурных инвесторов) и получить от них в общей сложности $3 млн. Через год, в мае 2012-го, компания поменяла название на Zoom — это была очевидная отсылка к детской книжке Zoom City. В том же году новая компания запустила бета-версию своего главного продукта — приложения для видеоконференций с числом участников до 15 человек. Первым клиентом стал Стэнфордский университет. Возможно, именно это через несколько месяцев позволило Zoom получить следующий раунд финансирования, уже на $6 млн, частично от тех же инвесторов, что и в первом раунде, а частично — от Qualcomm Ventures (венчурного подразделения одноименной телекоммуникационной компании) и от основателя Yahoo Джерри Янга. В дальнейшем круг инвесторов только расширялся, в том числе за счет венчурных фондов, а привлекаемые суммы росли. Росло и количество клиентов, а также и количество возможных одновременных участников телеконференции — уже в 2015 году была выпущена версия для бизнеса с числом участников до 1000 человек. К этому времени у Zoom было 40 млн пользователей и 65 000 платных бизнес-подписчиков. В январе 2017 года при очередном раунде финансирования компания была оценена в $1 млрд. Она перешла в разряд «единорогов» меньше чем через 6 лет после создания. Тогда же Zoom предложила новый продукт для врачей — приложение, позволявшее докторам удаленно консультировать своих пациентов. И наконец, в апреле 2019 года Zoom вышла на IPO.

Процветающие в пандемию: какие технологии стали популярнее в 2020 году

В том же году состоялись IPO таких компаний, как Uber, Lyft и Pinterest. Однако Zoom произвел самое большое впечатление на инвесторов. У компании было важное отличие — не только ее выручка от продаж росла в среднем на 100-150% в год в предшествовавшие 2 года, но она еще сумела показать небольшую прибыль, что очень нечасто встречается среди стартапов из Кремниевой долины. В первоначально поданных на регистрацию документах диапазон предполагаемой цены был установлен от $28 до $32. Через две недели, оценив энтузиазм инвесторов, компания подняла цену до $32-35 и в конечном итоге выпустила акции в продажу выше верхней границы диапазона — по $36. При этой цене капитализация Zoom составляла $9,2 млрд. Но в первый же день торговли на рынке Nasdaq цена поднялась на 80%, до $65 и завершила день на уровне $62. Таким образом, рыночная капитализация Zoom почти достигла $16 млрд. Ее основатель Эрик Юан, которому принадлежало 20% акций, в свои 49 лет стал миллиардером с состоянием почти в $3 млрд.

Он был не единственным выигравшим от удачного размещения. Компания продала около 10 млн новых акций и получила $357 млн, а акционеры, включая самого Юана и несколько фондов — ранних инвесторов, продали 11 млн своих акций. Один из комментаторов написал в этой связи: «[В Кремниевой долине] есть много китайских инженеров, занимающих важные посты среди разработчиков, но они нечасто создают новые компании и выводят их на биржу. Ни в одной из 50 компаний, входящих в индекс Bessemer Nasdaq Emerging Cloud Index, нет президента — китайца». Кстати, в этот момент около трети разработчиков-инженеров, работавших в Zoom, были китайцами, проживавшими в Китае (а не в Америке или других странах). Это окажется важным в дальнейшем.

Проблемы с данными

Настоящий бум начался для Zoom после появления коронавируса. Вместе с числом подписчиков кратно выросли и выручка, и прибыль компании. А это, естественно, отразилось на курсе акций и капитализации. Несмотря на общее падение фондовых рынков во всем мире, акции Zoom подорожали менее чем с $70 в январе 2020-го до $150 к концу марта. В июне капитализация приблизилась к $70 млрд. Тем же летом компания решила диверсифицировать портфель своих продуктов и предложить клиентам Zoom-телефоны и Zoom-комплекты для работы дома (Zoom for Home): первым продуктом должен стать 27-дюймовый экран с тремя широкоугольными камерами и восемью микрофонами, с программным обеспечением Zoom. Энтузиазм инвесторов на этих новостях только рос: в октябре 2020 года акции компании стоили уже больше $550, рост за 12 месяцев составил 847%, капитализация — $160 млрд. Компания, существующая менее 10 лет, по капитализации превзошла основанную Рокфеллером в 1882-м Exxon Mobil ($143 млрд на тот момент).

Однако неприятности уже поджидали Zoom — и совсем не со стороны финансовых рынков.

Еще в апреле 2020 года канадская междисциплинарная группа The Citizen Lab, базирующаяся в Университете Торонто, опубликовала результаты своего исследования — насколько защищена конфиденциальность «встреч в Zoom» под весьма красноречивым заголовком: «Двигайтесь быстро и сделайте собственную криптографию» (Move Fast and Roll Your Own Crypto. A Quick Look at the Confidentiality of Zoom Meetings). Во-первых, несмотря на утверждения компании о сквозном шифровании, шифровался только трафик между сервером и пользователями, но не между серверами, что создавало возможность перехвата данных. При этом ключи от шифрования оставались в руках самой компании, которая могла иметь доступ к содержанию разговоров, а при необходимости — и передать эти ключи государственным органам. Во-вторых, определенная часть трафика направлялась через серверы в континентальном Китае, даже когда ни один из участников встречи не находился в Китае. В-третьих, более 700 инженеров-разработчиков компании постоянно жили в Китае и работали в трех дочерних китайских компаниях, принадлежавших Zoom. Это, по вполне понятным причинам, делало их — и саму компанию — зависимыми от китайских властей и их требований. «Zoom — это американская компания с китайским сердцем?» — задавались вопросом исследователи. Эта информация была замечена некоторыми специализированными изданиями, но не получила тогда большого резонанса. Хотя уже тогда специалисты по защите данных указывали на многие неприятные особенности программ Zoom, например, возможность включать видеокамеру на компьютерах Apple без ведома владельца, передачу данных о привычках пользователей как самой Zoom, так и Facebook и многое другое.

Затем, уже в июне 2020-го, последовали более серьезные претензии к Zoom: стало известно о том, что компания по требованию китайских властей прервала четыре встречи своих пользователей, посвященных годовщине событий на площади Тяньаньмэнь в 1989 году — акций протеста в Пекине, жестоко подавленных китайской армией с применением огнестрельного оружия и бронетехники, с множеством убитых и раненых. 

«Зумбомбинг», утечки и ФБР: как сервис видеочатов Zoom стал жертвой собственной популярности в эпоху пандемии

Сразу после этого Zoom закрыла аккаунты трех пользователей, организовавших эти встречи, причем эти люди находились не в Китае, а в США и в Гонконге. Эта новость получила уже гораздо больше внимания и не только среди специальных изданий. Компании пришлось оправдываться: она выпустила специальное заявление, где признавала свои ошибки, но объясняла, что выполняла требование китайских властей, потому что среди участников встречи были жители Китая, где обсуждение этих вопросов официально запрещено и является нарушением закона. Поскольку, как говорилось в заявлении, компания не имела технических средств для того, чтобы отключить отдельных пользователей из конкретной страны, ей пришлось полностью прервать встречу. Она восстановила закрытые аккаунты и обещала исправить ошибки, внести необходимые изменения в свое программное обеспечение, которое позволило бы отключать пользователей по географическому принципу, чтобы не нарушать местные законы там, где такие обсуждения запрещены. Завершалось заявление оптимистической фразой: «Мы верим, что настанет день, когда правительства, которые воздвигают барьеры, чтобы отгородить своих людей от мира и друг от друга, признают, что они действуют против собственных интересов, а также против интересов своих граждан и всего человечества».

Охота на «единорогов»: в какие технологические стартапы инвестировать

Однако компании, которая работает более чем в 80 странах, необходимо соблюдать местные законы, хотя она и привержена свободному обмену идеями. Zoom также пообещал внести изменения в официальные внутренние правила компании. Это заявление несколько приглушило начинавшийся скандал, хотя уже тогда стало известно, что в Индии и Тайване приложение Zoom запрещено для использования в государственных структурах, а правительства США и Германии выпустили предостережение для госслужащих и рекомендовали не использовать приложение для важных разговоров.

Настоящая бомба

Однако настоящая бомба взорвалась в декабре 2020 года. 18 декабря Министерство юстиции США опубликовало несколько документов, связанных с расследованием деятельности нескольких сотрудников Zoom, которое вело ФБР с начала 2019 года. С формальной точки зрения это было обвинение и ордер на арест одного из сотрудников компании, название которой не указывалось, хотя было легко догадаться, что это именно Zoom, а очень скоро она и сама это подтвердила, опубликовав заявление в блоге на своем сайте. 39-летний сотрудник по имени Синцзян Чжин (Xinjiang Jin), известный также как Джулиен Чжин (Julien Jin), находился в Китае и выступал в качестве связующего звена между компанией и китайскими министерствами госбезопасности (Guoan) и общественной безопасности (Guobao). Он регулярно встречался с представителями этих китайских ведомств, отвечал на их запросы и передавал их в штаб-квартиру в Калифорнии. Он также давал китайским ведомствам интересовавшую их информацию о пользователях: их именах, встречах, в которых те участвовали, IP-адресах, адресах электронной почты.

Триумф креативного класса: участник списка Forbes Дмитрий Волков о новом «единороге»

Он же был обязан заниматься мониторингом подозрительных встреч, где могли обсуждаться неприятные для китайского руководства вопросы, включая события на площади Тяньаньмэнь, и отключать такие встречи, что он и сделал в мае-июне 2020-го. Для этого в компании была создана система, позволявшая отключить нежелательную сессию пользователей Zoom в течение одной минуты — таково было требование китайских властей, угрожавших в противном случае полностью запретить пользование приложением в Китае. При этом участники встречи необязательно должны были находиться в Китае — достаточно было того, что они обсуждали тему, находящуюся под запретом в Китае. Но для этого требовались не только технические средства, но и какое-то обоснование, поскольку клиенты Zoom могли начать возмущаться. Обоснование было найдено — нарушение условий обслуживания. Чжин сфабриковал улики, которые были им предъявлены руководству компании в США: он создал фальшивые электронные адреса людей, обсуждавших нежелательные темы, и сфабриковал корреспонденцию, касавшуюся поддержки терроризма, распространения детской порнографии, призывов к насилию и т. п. Например, в одном из созданных им профилей присутствовала фотография человека в маске, держащего флаг Исламского государства (организация признана террористической и запрещена в России. — Forbes), в переписке обсуждались вопросы сексуальной эксплуатации несовершеннолетних и т. д. Эти «улики» предъявлялись в качестве обоснования для закрытия аккаунтов «нежелательных» клиентов.

Победить TikTok и Snapchat: зачем Facebook купил разработчика чат-ботов за $1 млрд

Китайские власти использовали информацию, предоставленную Чжином, для запугивания проживающих в Китае родственников китайских диссидентов-эмигрантов, а также и тех китайских граждан в Китае, которые собирались принять участие в таких встречах. В обвинении подчеркивается, что действия китайских властей распространялись не только на своих граждан, проживающих в Китае, но и на граждан других стран, в частности американских, обсуждавших нежелательные для китайской Компартии темы. Чжин остается в Китае и поэтому недоступен для американского правосудия. Однако компания Zoom находится в Калифорнии, и она немедленно отреагировала, заявив о всестороннем сотрудничестве с американскими властями в ходе расследования, защите американских интересов от иностранного влияния, приверженности свободному обмену идеями и неустанной работе над защитой данных. Указанный сотрудник уже уволен, сообщила компания, весь трафик будет шифроваться end-to-end, он не будет направляться через китайские дата-центры, если только один из участников встречи не находится в Китае. Кроме того, компания усилит процедуры внутреннего контроля, введет внутренний кодекс ответов на правительственные запросы и проведет обучение сотрудников на тему охраны данных и соблюдения внутренних процедур.

В общем, меры приняты, подобное больше не повторится. Второй раз за один год очень успешной компании пришлось оправдываться по одному из самых щекотливых вопросов — конфиденциальности данных о пользователях. Этот вопрос может оказаться очень серьезным для дальнейшего развития Zoom. Как написал один из комментаторов, не очень правдивые утверждения Zoom создают у пользователей ложное ощущение безопасности и приватности, что бы они ни делали — занимались йогой или участвовали в важном правительственном совещании. Возможно, после всего происшедшего стоит отказаться пользоваться Zoom? А точнее, сказать, теперь зумьте на свой страх и риск. 

И с этим трудно не согласиться.

Дополнительные материалы

Конкурент Маска и производитель лазеров из России: 18 новичков американского рейтинга Forbes