Спецпроекты

Безопасность Техника

«Яндекс» извинился за «N-слово» в своем коде и объяснил скандальную утечку безалаберностью сотрудников

Компания «Яндекс» опубликовала первые результаты внутрикорпоративного расследования утечки фрагментов программного кода некоторых сервисов. Представители ИТ-гиганта уверяют, что никакой угрозы для безопасности пользователей и работоспособности сервисов нет, но признали, что в коде содержались данные таксистов и расистские высказывания, а «Алиса» иногда включалась без разрешения пользователей.

Устаревшая версия репозитория

Представители «Яндекса» поделились первыми результатами расследования утечки программного кода некоторых сервисов компании в открытый доступ. Сообщение опубликовано на официальной странице «Яндекса».

ИБ-специалисты признали, что опубликованные фрагменты взяты из внутреннего репозитория, с помощью которого разработчики работают с кодом. Однако содержимое архива, которое попало в Сеть, устарело и отличается от актуальной версии, уверяют в компании.

Кроме того, в частях кода содержались тестовые алгоритмы, которые использовались только внутри «Яндекса» для проверки корректности работы сервисов.

Утечка кода стала поводом для масштабного внутрикорпоративного расследования

«Первичный анализ показал, что опубликованные фрагменты не несут какой-либо угрозы для безопасности наших пользователей или работоспособности сервисов», – отмечается в релизе.

В компании заявили, что в ближайшее время создадут новую службу, которая будет отвечать за соответствие кода корпоративным принципам и политикам. Данные из репозитория, которые не имеют отношения к алгоритмам и настройкам сервисов, уже переносятся – так они будут лучше защищены.

Масштабное расследование

Инцидент стал поводом для проведения аудита всего содержимого репозитория. Специалисты компании обнаружили факты нарушения политик, принципов и правил собственной корпоративной этики.

Так, в коде присутствовали контактные данные водителей сервиса «Яндекс.такси», включая номера их телефонов и водительских удостоверений. Сведения передавались из одного таксопарка в другой. Один из алгоритмов включал микрофон мобильного гаджета на несколько секунд без уведомления пользователя; его написали для борьбы с ложными срабатываниями для улучшения качества активации «Алисы».

В сервисе «Яндекс.лавка» разработчики обнаружили возможность настройки рекомендаций товаров без пометки «реклама». Некоторые части кода, признались ИБ-специалисты, содержали слова, которые не влияли на работу сервисов, но были оскорбительны для людей разных рас и национальностей. В этой связи отметим, что после утечки широкое распространение в Рунете получил скриншот фрагмента кода со словом nigger, которое хоть и в несколько ином написании считается оскорбительным для негров США (при необходимости фигурирует в печати в виде «N-слова»).

«Один из принципов "Яндекса" гласит: наша работа строится на принципах честности и прозрачности, – отмечается в релизе. – Мы исходим из того, что любой внутренний диалог, документ или исходный код при определенных обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно. Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнерам».

Причины утечки

Представители «Яндекса» заявили, что утечка была связана с попытками разработчиков вручную улучшить сервис или устранить ошибку. Такое практиковалось по причине того, что «Яндекс» долгие годы исповедовал подход Zero Bug Policy или нулевой терпимости к багам. В итоге ошибки исправлялись с помощью временных решений. Теперь в компании планируют пересмотреть свои методы.

РБК со ссылкой на неофициального представителя компании сообщает, что источником утечки был сотрудник «Яндекса», и хакерская атака тут не при чем.

Техноэтика и мораль

Представители компании задались вопросом, насколько их решение отвечает нормам общечеловеческой морали и собственным принципам компании и насколько оно понятно пользователям и партнерам.

«Стало очевидно, что руководство компании уделяло мало внимания этим вопросам, – признали в «Яндексе», добавив, что скоро опубликуют стандарты и принципы техноэтики на своем сайте.

В качестве примера следования техностандартам в компании привели решение «Яндекса» в 2020 г. не разрешать браузеру находить людей по фотографиям, чтобы не нарушать их персональную безопасность. Также «Яндекс» не стал развивать проект по оценке потенциальных клиентов банков, которые хотят получить займ.

История «слива»

Напомним, архив с 45 ГБ исходных кодов и сопутствующих им данных сервисов и программ «Яндекса» оказался в интернете 25 января 2023 г. Все слитые файлы были датированы 24 февраля 2022 г.

В открытом доступе оказались коды большей части сервисов компании – почтовых, музыкальных, облачных, а также агрегатора такси. В беседе с CNews ИБ-специалисты отмечали, что злоумышленникам теперь будет намного легче находить уязвимости в сервисах «Яндекса», и в перспективе можно ожидать крупных утечек данных пользователей.

В беседе с CNews глава компании «Интернет-розыск» Игорь Бедеров добавил, что кто-то теперь будет иметь возможность «повторить ноу-хау разработки "Яндекса", некоторые фишки и нюансы».

«Понятно, что многие сейчас будут исследовать слитый код, чтобы понять, как компания следит за своими пользователями и какие именно данные собирает. Это же не первая утечка такого рода, но, ее, конечно, замнут. В компании, как всегда скажут, что все это никому не нужное старье», – отметил Бедеров.

Анжела Патракова

Короткая ссылка