Слив исходных кодов «Яндекса» может повлиять на работу алгоритмов

Эти архивы злоумышленники могут использовать для клонирования сервисов и атак
Максим Стулов / Ведомости

В открытый доступ выложили исходные коды сервисов «Яндекса». Информация об этом появилась на портале «Хабр» 26 января 2023 г. О каких конкретно сервисах идет речь, не уточняется, но их можно идентифицировать по названиям самых больших архивов: frontend (18,26 ГБ), classifieds (4,67 ГБ), market (4 ГБ), taxi (3,3 ГБ), portal (2,35 ГБ). «Общий объем архивов (в сжатом виде) составляет более 44,7 ГБ», – сообщается на «Хабре».

Факт утечки «Ведомостям» подтвердил представитель «Яндекса», но, по его словам, эти коды не актуальны. «Служба безопасности «Яндекса» обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах «Яндекса», – сообщил он.

Зачем «Яндексу» репозиторий

Репозиторий – это инструмент для хранения кода и работы с ним. Такой подход, как правило, большинство ИТ-компаний использует во внутренних процессах. Репозитории не предназначены для хранения персональных данных пользователей, уверяет представитель «Яндекса». 

Причиной утечки могли быть действия сотрудника, сообщил «Ведомостям» источник, близкий к «Яндексу». В пресс-службе не стали комментировать эту информацию. «Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы», – подчеркнул представитель ИТ-компании.

Но, по оценке директора по маркетингу и коммуникациям цифровой платформы «Ракета» Дарьи Зубрицкой, утечка серьезнее, чем пытается представить «Яндекс», и затронула примерно 79 различных сервисов. Среди них есть публичные сервисы, такие как «Поисковый движок», «Яндекс.Карты», «Яндекс.Такси», а также вспомогательные и служебные сервисы (например, «Яндекс.Метрика», API, капчи), перечисляет она. По подсчетам менеджера по развитию бизнеса Guardant (компания «Актив») Михаила Чухломина, масштаб даже больший и касается около сотни сервисов и продуктов «Яндекса».

В исходных кодах могут быть заложены, например, алгоритмы обучения «Алисы» или скрипты отслеживания всех подписок пользователя и взаимодействия с ними, предупреждает заместитель гендиректора «Группы T1» по технологическому развитию Антон Якимов. Самое опасное, если в них есть данные про обеспечение внутренней безопасности продуктов, говорит он. По словам Зубрицкой, в исходных кодах точно есть алгоритмы работы программы, также он может содержать логины и пароли от служебных учетных записей.

Но выложенные в открытый доступ коды не позволят запустить «собственные» «Яндекс.Такси» или «Яндекс.Карты», успокаивает Чухломин. «Это очень большие, сложные проекты с большим количеством зависимостей, которые не получится собрать за пределами инфраструктуры «Яндекса», – полагает он. Действительно, развернуть свой сервис на базе этого кода не получится, подтверждает Зубрицкая.

Учитывая объем выложенных данных, сложно предположить, что утечка могла стать следствием хакерской атаки, рассуждает директор центра Solar appscreener компании «РТК-Солар» Даниил Чернов. С высокой долей вероятности утечка действительно была спровоцирована действиями сотрудника, где дата «24.02.2022» (все файлы помечены этой датой) была мотивом. Коды не самые свежие, но достаточно актуальные, поэтому большая их часть до сих пор может использоваться, считает руководитель аналитического центра компании Zecuiron Владимир Ульянов. В то же время утечка никак не отразится на работоспособности сервисов, считает он.

Пользовательские данные утечка напрямую не затрагивает, но изучение исходных кодов может помочь злоумышленникам найти подсказки, продолжает Ульянов. Подобного рода утечки могут привести к эксплуатации неизвестных уязвимостей, подтверждает источник «Ведомостей» в одной из компаний в области кибербезопасности. «Например, злоумышленники, получив этот код, могут найти слабые месте, не заалертить их (не сообщить. – "Ведомости") в пострадавшую от утечки компанию, а начать писать эксплойт (программный код или набор инструкций, который позволяет использовать уязвимость для проведения атаки)», — говорит он. Таким образом, они могут получить доступ к информации пользователей или же попасть внутрь компании, провести шифрование данных, слить данные в публичный доступ, распространить вредоносное ПО, предупреждает собеседник. 

Исходные коды могут использовать хакеры с целью клонирования сервисов «Яндекса» для разработки вектора атаки, считает директор по стратегии и развитию технологий Axiom JDK компании «Беллсофт» Роман Карпов. Эта утечка позволяет злоумышленникам искать уязвимости в продуктах «Яндекса» для того, чтобы в дальнейшем получить доступ к пользовательским данным или манипулировать алгоритмами в сервисах, подчеркивает Чухломин. «Подобные утечки представляют собой своего рода «допинг» для злоумышленников, которые, анализируя данные, получают доступ к информации об алгоритмах, конкретных технических реализациях сервисов», – соглашается эксперт по информационной безопасности «Киберпротекта» Евгений Родыгин.

В большинстве компаний, которые заботятся о безопасности своей интеллектуальной собственности, написанный работниками компании исходный код охраняется как коммерческая тайна, говорит ведущий юрисконсульт юридической компании ЭБР Анна Сарбукова. Вероятнее всего, «Яндекс» тоже озаботился таким видом защиты. Поэтому, если злоумышленник будет найдет внутри компании, ему может грозить как дисциплинарное, так и административное или уголовное наказание, объясняет юрист:

Объем утечки исходного кода не влияет на размер ответственности работника, но важны только последствия, говорит Сарбукова. Если в результате слива исходного кода перестал работать поисковик «Яндекса» и/или какие-либо сервисы, то работника могут привлечь к административной или даже к уголовной ответственности. Если же утечки никаких существенных последствий не спровоцировали, то в действиях работника нет состава преступления, поэтому к нему могут быть применены только меры дисциплинарной ответственности (выговор, увольнение и т. д.), разъясняет она.

Если в организации есть лицо, ответственное за информационную безопасность и расследование инцидентов, то в результате утечки велика также вероятность привлечения такого человека к дисциплинарной ответственности, добавляет член комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России, эксперт Moscow Digital School Ирина Абдеева. Кроме того, в расследовании утечки может иметь значение мотивация сотрудника (инцидент произошел умышленно или по неосторожности) и способ утечки (к примеру, халатное отношение к исполнению обязанностей или умышленный взлом), говорит руководитель направления «Разрешение It&Ip споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. 

В целом, событие может нести как репутационный, так и коммерческий урон, говорит источник «Ведомостей» в одной из компаний в области кибербезопасности. После внутреннего расследования «Яндекс», вероятнее всего, озадачится пересмотром текущих подходов к обеспечению безопасности и организационной структуры, а также изменит архитектуру и процессы разработки, резюмирует он.