"Яндекс" извинился за протечку
"Яндекс" признал факт утечки данных фрагмента репозитория кода, о котором стало известно 25 января. Компания обнародовала основные предварительные результаты расследования данного инцидента.
https://www.comnews.ru/content/224118/2023-01-26/2023-w04/utechka-iskho…
На первый взгляд, "утекли" устаревшие данные, публикация которых не несет угрозы для безопасности пользователей или работоспособности сервисов "Яндекса". "Опубликованные фрагменты действительно взяты из нашего внутреннего репозитория - инструмента, с помощью которого разработчики компании работают с кодом. При этом содержимое архива соответствует устаревшей версии репозитория - она отличается от актуальной версии, которая используется нашими сервисами. Первичный анализ показал, что опубликованные фрагменты не несут какой-либо угрозы для безопасности пользователей или работоспособности сервисов", - говорится в официальном пресс-релизе.
Однако аудит ставшего достоянием гласности кода выявил целый букет нарушений разного рода политик, регламентов и этических норм. "Сейчас нам очень стыдно, и мы приносим извинения пользователям и партнерам. Считаем необходимым рассказать, почему такое происходило и что в связи с этим мы намерены предпринимать", - с таких слов начинается раздел, где приводятся результаты данного аудита.
К примеру, в коде содержались персональные данные, в частности водителей такси. Ошибки системы рекомендации исправлялись не с помощью алгоритмов, а применяя "временное решение, реализованное неоптимально и впопыхах", проще говоря, так называемые костыли. Также "некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но были сами по себе оскорбительны для людей разных рас и национальностей". Обнаружены лазейки для того, чтобы не помечать отзывы в "Яндекс.Лавке" как рекламные.
Руководитель аналитического центра компании Zecurion Владимир Ульянов считает масштаб данного инцидента значительным: "Затронуты многие проекты компании. Что касается "скелетов", они уже вылезают, в официальных сообщениях часть из них подсвечена. По последствиям, с точки зрения ИБ, изучение исходных кодов может помочь как исследователям безопасности, так и злоумышленникам найти какие-то уязвимости или подсказки".
Директор по маркетингу и коммуникациям ООО "Ракета" Дарья Зубрицкая обращает внимание, что последствия данного инцидента будут сказываться еще долго: "Причем речь идет не о прямом финансовом ущербе, а о репутационных потерях, так как в рамках данной утечки выявлены значимые особенности работы сервисов. Уже сейчас "Яндекс" заявляет, что в коде найдено несколько случаев серьезного нарушения их политик и правил корпоративной этики. Вполне возможно, что независимые аудиторы найдут еще более серьезные нарушения этических и других норм".
Есть риск и того, что прямой эффект может наступить очень быстро вследствие бойкота продуктов "Яндекса", прежде всего на внешних рынках. "Интересно, если вдруг африканцы и их потомки начнут кампанию против "Яндекса" за то, что те употребляли в коде своих продуктов уничижительное слово и, как следствие, международные доходы компании упадут, можно ли это будет считать ущербом от утечки данных, то есть напрямую связанным с ИБ?" - задается вопросом ведущий блога "Бизнес без опасности" Алексей Лукацкий.
"Предварительная причина инцидента - действия сотрудника - весьма распространена, я бы даже сказал банальна. Многие организации сталкиваются с угрозами со стороны персонала. Это понятно: имея доступ к данным, их легче украсть, чем пытаться взломать снаружи, - рассуждает о характере инцидента в "Яндексе" Владимир Ульянов. - По угрозам подмена/кража зависит от сценария реализации, заранее сложно сказать. В любом случае публичность должна сыграть на руку безопасности, ситуация не останется без внимания или втихую использована злоумышленниками. По всей видимости, будут пересмотрены политики безопасности и внесены организационные изменения, а исходный код уже проходит внутренний аудит".
"Появление нечистых на руку сотрудников сложно выявить, особенно в таких крупных компаниях. Единственное, что может помочь от таких масштабных сливов, - это разделение ролей сотрудников, чтобы ни один из работников не имел полного доступа ко всему репозиторию исходного кода, - обращает внимание Дарья Зубрицкая. - Вероятнее всего, в компании есть привилегированные пользователи, которые имеют доступ ко всем компонентам программного обеспечения. И доступ, и поведение таких сотрудников слабо контролируются. Это и позволило инсайдеру выкачать такой объем кода".
В самом "Яндексе" видят причину выявленных проблем в недостатках ряда политик компании: "В компании долгое время существует подход Zero Bug Policy - политика нулевой терпимости к "багам". Реализация подхода на практике приводила к тому, что часть "багов" исправлялись с помощью временных решений, устраняющих конкретную проблему или неправильный результат работы алгоритма. "Яндекс" сохранит Zero Bug Policy, но способы реализации будут пересмотрены".
Как показывает мониторинг InfoWatch, за последние три месяца имело место несколько схожих с утечкой в "Яндексе" инцидентов. Так, фармацевтическая компания AstraZeneca в течение года с лишним хранила реальные персональные данные пациентов на незащищенной платформе для разработчиков GitHub с открытым доступом для всех желающих. Медиакомпания Thomson Reuters скомпрометировала три базы данных, разместив их на незащищенном облачном сервере. Китайский разработчик компьютерных игр miHoYo допустил утечку большого объема данных о новых игровых персонажах, квестах и событиях. Также были раскрыты персональные данные некоторых разработчиков.