"Яндекс" признал слив и извиняется

"Яндекс" признал слив и извиняется

25 января 2023 года в открытый доступ выложили исходные коды сервисов «Яндекса». Информация об этом появилась на портале «Хабр». О каких конкретно сервисах идет речь, не уточняется, но их можно идентифицировать по названиям самых больших архивов: frontend (18,26 ГБ), classifieds (4,67 ГБ), market (4 ГБ), taxi (3,3 ГБ), portal (2,35 ГБ). «Общий объем архивов (в сжатом виде) составляет более 44,7 ГБ», – сообщается на «Хабре».

Это не первая утечка закрытой и важной информации в Яндексе, но пожалуй, самая масштабная и опасная.

В феврале 2021 года сообщалось утечке данных 5 тыс. личных почтовых ящиков пользователей.

В марте 2022 года в открытый доступ были выложенные персональные данные сотен тысяч клиентов сервиса "Яндекс.Еда". В открытом доступе появилась база данных клиентов сервиса, в которой содержались фамилии, имена, отчества пользователей, их адреса, телефоны, электронные почты и общие суммы заказов. Спустя месяц мировой суд Москвы оштрафовал сервис «Яндекс.Еда» на 60 000 руб. за утечку данных пользователей.

Факт новой утечки подтвердили «Яндекса», но, по их словам, эти коды не актуальны. «Служба безопасности «Яндекса» обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах «Яндекса», – сообщил он.

Репозиторий – это инструмент для хранения кода и работы с ним. Такой подход, как правило, большинство ИТ-компаний использует во внутренних процессах. Репозитории не предназначены для хранения персональных данных пользователей, уверяет представитель «Яндекса».

Причиной утечки могли быть действия сотрудника, сообщил «Ведомостям» источник, близкий к «Яндексу». В пресс-службе не стали комментировать эту информацию. «Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы», – подчеркнул представитель ИТ-компании.

В корпорации подчеркнули, что работа «Яндекса» строится на принципе прозрачности: предполагается, что любой документ или код потенциально может быть опубликован, и в таком случае не должно быть причины для стыда.

«Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнерам. Считаем необходимым рассказать, почему такое происходило и что в связи с этим мы намерены предпринимать», — добавили в «Яндексе».

По оценке директора по маркетингу и коммуникациям цифровой платформы «Ракета» Дарьи Зубрицкой, утечка серьезнее, чем пытается представить «Яндекс», и затронула примерно 79 различных сервисов. Среди них есть публичные сервисы, такие как «Поисковый движок», «Яндекс.Карты», «Яндекс.Такси», а также вспомогательные и служебные сервисы (например, «Яндекс.Метрика», API, капчи), перечисляет она. По подсчетам менеджера по развитию бизнеса Guardant (компания «Актив») Михаила Чухломина, масштаб даже больший и касается около сотни сервисов и продуктов «Яндекса».

В исходных кодах могут быть заложены, например, алгоритмы обучения «Алисы» или скрипты отслеживания всех подписок пользователя и взаимодействия с ними, предупреждает заместитель гендиректора «Группы T1» по технологическому развитию Антон Якимов. Самое опасное, если в них есть данные про обеспечение внутренней безопасности продуктов, говорит он. По словам Зубрицкой, в исходных кодах точно есть алгоритмы работы программы, также он может содержать логины и пароли от служебных учетных записей.

Учитывая объем выложенных данных, сложно предположить, что утечка могла стать следствием хакерской атаки, рассуждает директор центра Solar appscreener компании «РТК-Солар» Даниил Чернов. С высокой долей вероятности утечка действительно была спровоцирована действиями сотрудника, где дата «24.02.2022» (все файлы помечены этой датой) была мотивом. Коды не самые свежие, но достаточно актуальные, поэтому большая их часть до сих пор может использоваться, считает руководитель аналитического центра компании Zecuiron Владимир Ульянов.

Пользовательские данные утечка напрямую не затрагивает, но изучение исходных кодов может помочь злоумышленникам найти подсказки, продолжает Ульянов. Подобного рода утечки могут привести к эксплуатации неизвестных уязвимостей, подтверждает источник в одной из компаний в области кибербезопасности. «Например, злоумышленники, получив этот код, могут найти слабые месте, не заалертить их  в пострадавшую от утечки компанию, а начать писать эксплойт (программный код или набор инструкций, который позволяет использовать уязвимость для проведения атаки)», — говорит он. Таким образом, они могут получить доступ к информации пользователей или же попасть внутрь компании, провести шифрование данных, слить данные в публичный доступ, распространить вредоносное ПО, предупреждает собеседник.

Исходные коды могут использовать хакеры с целью клонирования сервисов «Яндекса» для разработки вектора атаки, считает глава комитета по информационной безопасности АРПП «Отечественный софт» Роман Карпов. Эта утечка позволяет злоумышленникам искать уязвимости в продуктах «Яндекса» для того, чтобы в дальнейшем получить доступ к пользовательским данным или манипулировать алгоритмами в сервисах, подчеркивает Чухломин.

В большинстве компаний, которые заботятся о безопасности своей интеллектуальной собственности, написанный работниками компании исходный код охраняется как коммерческая тайна, говорит ведущий юрисконсульт юридической компании ЭБР Анна Сарбукова. Вероятнее всего, «Яндекс» тоже озаботился таким видом защиты. Поэтому, если злоумышленник будет найдет внутри компании, ему может грозить как дисциплинарное, так и административное или уголовное наказание, объясняет юрист:
 
Объем утечки исходного кода не влияет на размер ответственности работника, но важны только последствия, говорит Сарбукова. Если в результате слива исходного кода перестал работать поисковик «Яндекса» и/или какие-либо сервисы, то работника могут привлечь к административной или даже к уголовной ответственности. Если же утечки никаких существенных последствий не спровоцировали, то в действиях работника нет состава преступления, поэтому к нему могут быть применены только меры дисциплинарной ответственности (выговор, увольнение и т. д.).
Автор: