Новости Исходные коды Яндекса «утекли» в Сеть

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.809
Репутация
62.390
Реакции
276.996
RUB
0
Служба безопасности Яндекса заявила, что взлома не было. Киберпреступники опубликовали старые исходные кодов части проектов из внутреннего репозитория

image



Как Хабр, накануне в сети появились исходные коды, а также сопутствующие им данные программ и сервисов Яндекса.

По информации издания, неизвестные злоумышленники выложили отдельные архивы (.tar.bz2), названия которых указывают на сервисы компании Яндекс. Общий объем «утекшей» информации (в заархивированном виде составляет более 44.7 ГБ.

Хакеры, обнародовавшие данные, утверждают, что получили доступ к исходным кодам проектов компании, кроме правил антиспама. Согласно их версии, данные были скачаны в июле 2022 года.

Пресс-служба компании «Яндекс» заявила, что никакого взлома не было.

«Служба безопасности Яндекса обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако, их содержимое отличается от текущей версии репозитория, которая используется в сервисах Яндекса», - сообщили представители компании.

Пресс-служба также отметила, что репозитории не предназначены для хранения персональных данных пользователей. Компания проводит внутреннее расследование.

Как мы ранее, 1 марта 2022 года в свободном доступе появилась база с информацией о клиентах Яндекс Еды. В интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Выложенный хакерами файл представлял два дампа общим размером около 50Гб.








 
На прошлой неделе в сеть попали из внутреннего репозитория «Яндекс».

Компания сообщает, что уже проводит внутреннее расследование инцидента и «считает важным поделиться первыми результатами».

Напомню, что появившийся в сети дамп содержал исходные коды множества продуктов и сервисов компании, в том числе «Почты», «Такси», «Диска», «Алисы» и так далее. На прошлой неделе в «Яндексе» подтвердили факт утечки, причем, согласно сообщениям СМИ, речи о взломе компании не шло, а данные «слил» инсайдер.


ie81o8x408izdlllztqbh2nnaq8.png

nsybqazsff520q8jwvnu1uv8xzk.png

Тогда в «Яндексе» подчеркивали, что репозитории нужны лишь для работы с кодом и не предназначены для хранения персональных данных пользователей, и сообщали, что «не видят какой-либо угрозы для данных пользователей или работоспособности платформы».

Сегодня в блоге «Яндекса» появились расследования инцидента.

«Опубликованные фрагменты действительно взяты из нашего внутреннего репозитория — инструмента, с помощью которого разработчики компании работают с кодом. При этом содержимое архива соответствует устаревшей версии репозитория — она отличается от актуальной версии, которая используется нашими сервисами.
Первичный анализ показал, что опубликованные фрагменты не несут какой-либо угрозы для безопасности наших пользователей или работоспособности сервисов. В то же время мы решили, что сложившаяся ситуация — повод провести масштабный аудит всего содержимого репозитория», — пишут в компании.

Увы, в ходе аудита обнаружилось несколько случаев серьезного нарушения политик компании, в том числе и .

В отчете приводится несколько примеров таких нарушений:

  • В коде содержались контактные данные некоторых партнеров. Например, водителей — в некоторых случаях их контакты и номера водительских удостоверений передавались из одного таксопарка в другой.
  • Зафиксированы случаи, когда логику работы сервисов корректировали не алгоритмическим способом, а «костылями» (на языке разработчиков так называется временное решение, реализованное неоптимально и впопыхах). Через такие «костыли» исправляли отдельные ошибки системы рекомендаций, которая отвечает за дополнительные элементы поисковой выдачи, и регулировали настройки поиска по картинкам и видео.
  • В сервисе «Яндекс Лавка» существовала возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере.
  • Наличие приоритетной поддержки для отдельных групп пользователей в сервисах «Такси» и «Еды».
  • Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но сами по себе оскорбительны для людей разных рас и национальностей.
  • Важно отметить, что опубликованные фрагменты кода содержат, в том числе, и тестовые алгоритмы, которые использовались только внутри «Яндекса» для проверки корректности работы сервисов. Например, для улучшения качества активации ассистента и уменьшения количества ложных срабатываний в бета-версии для сотрудников применяется настройка, которая включает микрофон устройства на несколько секунд в случайный момент без упоминания «Алисы».
В связи с этим представители компании признают, что им очень стыдно за случившееся и они должны принести извинения всем, кого могла затронуть эта ситуация.

«Один из принципов “Яндекса” гласит: наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определенных обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно.
Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнерам. Считаем необходимым рассказать, почему такое происходило, и что в связи с этим мы намерены предпринимать», — говорят в «Яндексе».

Согласно отчету, большинство выявленных проблем было связано с попытками вручную внести в сервис улучшение или устранить ошибку. «Ошибки — часть жизни. Их не избежать, если у тебя не статичный, а постоянно развивающийся продукт», — отмечают в компании.

В компании долгое время практикуется подход Zero Bug Policy (политика нулевой терпимости к багам). Но теперь в «Яндексе» сообщили, что реализация этого подхода на практике приводила к тому, что часть багов исправлялись с помощью временных решений, устраняющих конкретную проблему или неправильный результат работы алгоритма. В будущем «Яндекс» сохранит Zero Bug Policy, но способы реализации будут пересмотрены.

«В ходе анализа и обсуждения оказавшегося в открытом доступе кода мы вновь столкнулись с вопросами техноэтики. Насколько используемое решение соответствует общечеловеческой морали и нашим собственным принципам? Насколько решение понятно для наших пользователей и партнёров? Стало очевидно, что руководство компании уделяло мало внимания этим вопросам.
С вопросами техноэтики мы сталкивались и раньше. Например, в 2020 году в “Яндексе” решили, что поиск не должен помогать находить людей по фото, так как это нарушает их персональную безопасность. Или, например, был закрыт проект по оценке потенциальных заемщиков банков. На основе этих решений были сформулированы принципы и системный подход. Но другие проблемы не получили должного внимания.
Сегодня “Яндекс” возобновляет работу по формированию стандартов и принципов техноэтики. Они будут опубликованы на сайте компании и станут частью наших общих политик. Все фрагменты кода, которые противоречат им, будут исправлены.
При этом мы считаем важным сохранить внутри “Яндекса” открытую среду разработки, в частности – единый репозиторий. Она остается важнейшей частью нашей внутренней культуры. В ближайшее время мы создадим новую службу, которая будет отвечать за соответствие кода нашим принципам и политикам. Кроме того, мы уже переносим из репозитория все данные, которые не имеют отношения к алгоритмам и настройкам сервисов. Эти данные получат дополнительную защиту», — подытожили представители компании.

 

В Яндекс признали, что колонка «Алиса» может подслушивать пользователей​



В Яндекс признали, что колонка «Алиса» может подслушивать пользователей
фото: кадр из видео. источник: соцсети
Умная колонка «Алиса» может на несколько секунд включать микрофон даже когда пользователь ее имя не называл, пресс-служба Яндекса после утечки кода сервисов.
«На прошлой неделе в открытом доступе были обнаружены фрагменты программного кода некоторых сервисов Яндекса, - сообщила компания. - Мы продолжаем внутреннее расследование инцидента и считаем важным поделиться первыми результатами».
Сообщается, что включение микрофона без запроса пользователя - это один из тестовых алгоритмов колонки, который, срабатывал только в ее бета-версии для сотрудников. Функция скрытой активации микрофона для прослушивания речи человека, который даже не обращался в «Алисе», необходима, как пояснили в Яндексе, для уменьшения количества ложных срабатыванийи улучшения качества активации ассистента.
Компания принесла извинения пользователям.









 
Сверху Снизу