Спецпроекты

Безопасность Веб-сервисы Техника

Хакеры выложили в сеть исходные коды поисковика, почты, диска и облака «Яндекса»

Хакеры выложили в сеть 45 гигабайт исходных кодов российского интернет-гиганта «Яндекс». Речь идет о кодах большей части сервисов компании – почтовых, музыкальных, облачных, а также агрегатора такси. Теперь злоумышленникам будет легче находить уязвимости в сервисах «Яндекса», и в перспективе можно ожидать новых крупных утечек данных пользователей.

Крупнейший слив

В сеть попали 44,7 гигабайт исходных кодов большей части сервисов «Яндекса» – от почты и агрегатора такси, до музыки и облака. Об этом сообщает Telegram-канал «Базы данных/ БД/ Утечки информации/Архив». Проприетарный исходный код был опубликован в онлайн-сообществе BreachForums.

Коды выложены с комментариями и документацией. Раздача содержит отдельные архивы (.tar.bz2), по названиям которых можно идентифицировать конкретные сервисы «Яндекса». Среди них поисковая система и индексирующий бот, «Яндекс.карты», «Алиса», «Яндекс.такси», «Яндекс.директ», «Яндекс.почта», «Яндекс.диск», «Яндекс.маркет», «Яндекс.путешествия», «Яндекс 360», «Яндекс.облако», «Яндекс.pay», «Яндекс.метрика». Есть в файлах также серверная часть больше части других сервисов компании.

«Судя по всему, слили приватный GitLab компании», – пишут авторы Telegram-канала.

В марте 2022 г. произошла крупная утечка данных пользователей «Яндекс.еды»

Позже «Яндекс» подтвердил CNews, что были опубликованы старые исходные коды нескольких проектов из внутреннего репозитория, инструмента для разработчиков, который необходим им для работы с кодом. Злоумышленники выложили архив в открытый доступ, заявляя, что он был скачан в июле 2022 г.

«Никакого взлома "Яндекса" не было, – уточнили представители компании. – Служба безопасности "Яндекса" обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах "Яндекса"».

В компании заявили, что проводят внутреннее расследование.

Чем утечка угрожает пользователям

Инженер-программист, разработчик игр Арсений Шестаков на своем сайте заметил, что архив представляет собой содержимое репозитория, файлы в котором датированы 24 февраля 2022 г. Он не содержит истории git, в основном – только код. В документах также нет готовых двоичных файлов для больше части программ, за редким исключением, и почти нет предварительно обученных моделей ML.

«Я проверил, что по крайней мере некоторые из архивов наверняка содержат современный исходный код сервисов компании, а также документацию, указывающую на реальные URL-адреса в интрасети», – отметил разработчик.

Он добавил, что утечка не содержит личных данных. В документе можно найти несколько ключей API, но они, как полагает эксперт, использовались только для тестирования развертывания.

Бывший топ-менеджер компании «Яндекс» Григорий Бакунов в своем Telegram-канале сообщил, что выложенные архивы подходят лишь для изучения кода.

«Важно понимать: по сути это довольно бесполезно, подходит для изучения кода, но запустить из этого свой "Яндекс" не выйдет, – пишет Бакунов. – Во-первых, попробуйте хоть что-то оттуда собрать, это очень не очевидно и часто требует внутренней инфраструктуры "Яндекса". Во-вторых, для ИИ-проектов нет самого главного – натренированных весов, т.е. модель, которая у вас получится после сборки, просто не обучена. Датасета для обучения тоже нет».

По его мнению, это не взлом, а слив кого-то из сотрудников.

В беседе с CNews Михаил Сергеев, ведущий инженер CorpSoft24, изучивший архив, заметил, что в архиве есть исходники некоторых сервисов компании, но не сами репозитории с коммитами и ветками, и, вероятно, злоумышленник, перед тем как выложить почистил .git папки. Под статью КоАП РФ утечка не подпадает, так что компанию не оштрафуют.

«Утечка данных исходников может способствовать "нахождению дыр" в текущих сервисах компании и уже привести к взлому и краже, например, персональных данных», – уточнил эксперт.

Заместитель руководителя Центра противодействия киберугрозам Innostage CyberART Максим Акимов объяснил CNews, что, учитывая принятую agile-модель разработки программного обеспечения, можно полагать, что часть кода сервисов актуальна. Анализ исходного кода на предмет уязвимостей, ошибок, зависимостей действительно дает основу для проведения взлома.

«Утечка содержит исходный код для части сервисов компании, документацию, конфигурации указывающие на адреса внутренней сети инфраструктуры, – отметил Акимов. – Раскрытие информации об устройстве внутренней сети позволяет злоумышленникам эффективнее действовать на стадии продвижения.Также обнаружены исходные данные, относящиеся к конфигурациям средств защиты информации, анализ которых дает широкие возможности для обхода защитных методов. Данный случай доказывает, что никто не застрахован от подобного инцидента, даже компании с высоким уровнем зрелости информационной безопасности».

Главный архитектор RooX Константин Корсаков сообщил CNews, что формально утечка кода относится к «СП.22.10 Раскрытие чувствительной информации о приложении и инфраструктуре» Банка данных угроз безопасности информации ФСТЭК (БДУ). По его словам, чем «свежее» код, который попал в утечку, тем серьезнее угроза.

«БДУ предлагает список системных мер по защите от такого рода угроз, но даже если в компании внедрен и поддерживается весь комплекс этих мер, то после утечки все равно появляется "слабое звено" или Zero Day-уязвимости, – предупреждает эксперт. – Zero Day всегда будут возникать. Если благодаря утечке кода можно предположить, что компания использует определенную библиотеку, а в ней нашли Zero Day, то тогда все будет зависеть от скорости реакции безопасников».

Не первая утечка

Нынешний инцидент не связан с персональными данными, однако в 2022 г. «Яндекс» сталкивался с масштабной утечкой сведений пользователей – в Сеть попали сведения о клиентах сервиса доставки «Яндекс.еда». 1 марта 2022 г. в компании подтвердили, что в открытый доступ были слиты номера телефонов клиентов и данные об их заказах. В инциденте обвинили недобросовестного сотрудника. При этом утечка не затронула банковские и платежные данные пользователей, логины и пароли.

В целом после начала российской спецоперации на Украине ситуация с кибербезопасностью в стране серьезно ухудшилась. По итогам года объем утечек персональных данных россиян вырос в 40 раз – пострадали почти 100 млн человек. За год утекли данные клиентов службы доставки СДЭК, Delivery Club, сети медицинских лабораторий «Гемотест», «Ростелекома», Tele2, «Билайна» и «Почты России».

На фоне масштабных утечек власти заговорили о введении оборотных штрафов для российских компаний, которые халатно обращаются с персональными данными клиентов и допускают утечки. После этого представители «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon ополчились на неподъемные штрафы, заявив, что они неприемлемы в условиях нестабильной экономической ситуации. Позже риторика властей смягчилась; Минцифры предложило применять штрафы в два этапа – за первую утечку сделать штраф фиксированным, за второй взыскивать оборотный. Бизнес, впрочем, выступил против и этой версии нововведений.

В октябре 2022 г. Минцифры внесло в готовящийся законопроект поправку о персональной ответственности. Главу компании, не уследившей за данными, могут оштрафовать на 200-400 тыс. руб., если в интернете оказалась база на 10-100 тыс. строк. Для индивидуальных предпринимателей и юридических лиц штраф за такой же инцидент составит 0,02% оборота, но не меньше 1 млн руб. Штраф на организацию хотят ввести на уровне 1-3% годовой выручки, если фирма не уведомила об инциденте Роскомнадзор.

На данный момент вопрос нарушений законодательства в области персональных данных регулирует статья 13.11 Административного кодекса. Максимальное наказание предполагает штраф в 500 тыс. руб. для юрлиц. Для сравнения -– оборотный штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд руб.

В декабре 2022 г. президент России Владимир Путин одобрил введение уголовной ответственности за незаконный оборот персональных данных, в том числе и за использование утекших баз данных, в ходе встречи с членами Совета по развитию гражданского общества и правам человека (СПЧ). В конце 2022 г. также был принят закон о биометрии, ограничивающий коммерческим компаниям доступ к биометрическим персональным данным россиян, «чтобы обезопасить их».

Анжела Патракова

Короткая ссылка