«Яндекс»­ потерял исходный код

Вчера в свободном доступе оказались исходные коды с сопутствующими данными нескольких сервисов «Яндекса»­. Общий объем архивов – 44,7 Гб. 

По заявлениям интернет-пользователей, ознакомившихся с архивами, по названиям файлов идентифицируются более 10 продуктов — «Почта»­, «Такси»­, «Поиск»­, «Карты»­, Pay и др., а дата создания файлов — 24 февраля 2022 года. 

Компания подтвердила «Интерфаксу»­ утечку кодов, однако отметила, что их содержимое отличается от текущей версии репозитория, которая используется в сервисах «Яндекса». При этом пресс-служба подчеркнула, что взлома не было, и сейчас компания проводит внутреннее расследование. А один из источников «Интерфакса»­, знакомый с ситуацией, утверждает, что виноват в «сливе»­ сотрудник компании. 

 

 

Руководитель iFreedomLab Владимир Кузьмин:

 

 

Это очень опасная история. Наличие исходного кода даже без базы данных и самих данных сервиса даёт понимание о работе алгоритмов IT-продуктов. И любое несовершенство, все тонкие места и уязвимости — как на ладони. Поэтому понять, как привести программный продукт к сбою, очень легко. Вероятность взлома и вмешательства в работу возрастает на порядки. Это первое. 

Второе — API. Когда известна структура данных, передаваемая по сети для взаимодействия с другими участниками рынка — скажем, с продавцами на Маркете — можно этими данными воспользоваться: скопировать, зеркалировать. Понятно, что эта информация защищена, есть https, но все равно: зная структуру, протокол и тонкие места (ошибки), можно, например, подключиться к магазину как чужой продавец, минуя механизмы верификации. И это только один из множества вариантов использования подобного рода информации. 

Плюс — это утечка интеллектуальной собственности. IT-компании сейчас постоянно в технологической гонке, а тут уже готовые решения. Впрочем, воспользоваться целиком ворованным кодом «Яндекса»­, чтобы запустить аналогичные продукты, вряд ли кто-то решится. 

Вопрос безопасности в этой ситуации очень тревожный. На мой взгляд, лучшим решением для «Яндекса»­ сейчас будет объявить что-то вроде народного хакатона с большим (очень большим, конкурентоспособным, скажем так) призовым фондом по поиску тех самых тонких мест и уязвимостей с помощью утекших исходников работающих сервисов.

Рекомендуем почитать

Как бизнес реагирует на происходящее в стране и как его реакция отражается на интернете в России? iFreedomLab собирает…
29.12.2023
Некоторое время назад мы начали мониторинг статистических и экономических показателей в рамках нашего проекта SETEWIKI, в котором мы…
26.12.2023
Мы подготовили новую работу, в которой попытались оценить состояние цифровых прав в России на конец 2023 года. В…
22.12.2023