Вчера в свободном доступе оказались исходные коды с сопутствующими данными нескольких сервисов «Яндекса». Общий объем архивов – 44,7 Гб.
По заявлениям интернет-пользователей, ознакомившихся с архивами, по названиям файлов идентифицируются более 10 продуктов — «Почта», «Такси», «Поиск», «Карты», Pay и др., а дата создания файлов — 24 февраля 2022 года.
Компания подтвердила «Интерфаксу» утечку кодов, однако отметила, что их содержимое отличается от текущей версии репозитория, которая используется в сервисах «Яндекса». При этом пресс-служба подчеркнула, что взлома не было, и сейчас компания проводит внутреннее расследование. А один из источников «Интерфакса», знакомый с ситуацией, утверждает, что виноват в «сливе» сотрудник компании.
Руководитель iFreedomLab Владимир Кузьмин:
Это очень опасная история. Наличие исходного кода даже без базы данных и самих данных сервиса даёт понимание о работе алгоритмов IT-продуктов. И любое несовершенство, все тонкие места и уязвимости — как на ладони. Поэтому понять, как привести программный продукт к сбою, очень легко. Вероятность взлома и вмешательства в работу возрастает на порядки. Это первое.
Второе — API. Когда известна структура данных, передаваемая по сети для взаимодействия с другими участниками рынка — скажем, с продавцами на Маркете — можно этими данными воспользоваться: скопировать, зеркалировать. Понятно, что эта информация защищена, есть https, но все равно: зная структуру, протокол и тонкие места (ошибки), можно, например, подключиться к магазину как чужой продавец, минуя механизмы верификации. И это только один из множества вариантов использования подобного рода информации.
Плюс — это утечка интеллектуальной собственности. IT-компании сейчас постоянно в технологической гонке, а тут уже готовые решения. Впрочем, воспользоваться целиком ворованным кодом «Яндекса», чтобы запустить аналогичные продукты, вряд ли кто-то решится.
Вопрос безопасности в этой ситуации очень тревожный. На мой взгляд, лучшим решением для «Яндекса» сейчас будет объявить что-то вроде народного хакатона с большим (очень большим, конкурентоспособным, скажем так) призовым фондом по поиску тех самых тонких мест и уязвимостей с помощью утекших исходников работающих сервисов.