Риски от «слива» в «Яндексе» носят пока лишь репутационный характер — Forbes

В компании «Яндекс» пытаются оценить масштаб последствий от «слива» в Сеть исходных кодов и сопутствующих им данных множества сервисов и программ. Насколько сильным является для Яндекса этот удар, попытался разобраться Forbes.

Общий размер выложенных данных составляет около 45 ГБ в сжатом виде. В открытом доступе оказались часть приватных репозиториев компании и исходный код массы значимых сервисов «Яндекса».

Среди них — Search Engine and Indexing Bot, «Карты», «Такси», «Директ», «Почта», «Диск», «Маркет», «Путешествия», «Яндекс360», Yandex Cloud, платежный сервис Yandex Pay, поиск, а также списки фраз, которыми пользователи выключают голосового помощника «Алиса».

По словам экс-директора по распространению технологий «Яндекса» Григория Бакунова, данные довольно бесполезны, однако опасность «слива» в том, что эти данные подходят для изучения кода.

«Во-первых, попробуйте хоть что-то оттуда собрать, это очень неочевидно и часто требует внутренней инфраструктуры „Яндекса“. Во-вторых, для ИИ-проектов нет самого главного — натренированных весов, то есть модель, которая у вас получится после сборки, просто не обучена. Датасета для обучения тоже нет. Это, безусловно, не взлом, а „слив“ кого-то из сотрудников», — констатировал Бакунов.

В пресс-службе «Яндекса» с такой оценкой полностью солидарны. Там подтвердили факт утечки кода, подчеркнув, что «никакого взлома не было».

«Служба безопасности „Яндекса“ обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах „Яндекса“», — отметили в компании.

Однако с этой версией согласны не все. Среди тех, кто не поддерживает предположение, что утечку организовал один из сотрудников, оказался руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.

Он указал на тот факт, что первоисточник утечки был размещен на тематическом форуме пользователем под ником borderline. Этого пользователя Бедеров связывает с хакерской группировкой, совершившей, по его словам, 80% всех взломов с утечками личных данных пользователей в России.

Результатом атаки стало то, что скомпрометированы оказались патенты, разработки, ноу-хау «Яндекса», считает Игорь Бедеров. Кроме того, используя выложенные данные, можно изучить, как де-факто устроен сервис.

Например, можно узнать, как именно «Яндекс» следит за пользователями умного помощника «Алиса» и есть ли тут расхождение с пользовательским соглашением компании, — утечка содержит текстовый вариант голосовых запросов и пассивного сбора информации, продолжает аналитик.

Также, по мнению ряда экспертов по кибербезопасности, «утекли» некоторые важные инструменты — плагины для пентестеровских утилит, которые «Яндекс» писал сам. Используя эти плагины, злоумышленники смогут провести атаки.

В связи с этим признается, что хотя явных новых угроз пользователям эта утечка не несет, но она, безусловно, открывает новые возможности для злоумышленников. Теперь искать уязвимости в сервисах «Яндекса» станет проще, поэтому теперь их взлом — лишь вопрос времени, считают эксперты.

Все же, подводя итог, в Forbes попытались сделать это с долей оптимизма, так как «слитые» данные пока дают только возможность понять внутреннее устройство и вряд ли злоумышленники смогут воспользоваться этим без доступа внутрь. Поэтому пока риски в основном носят репутационный характер.

«Подобные инциденты случаются нередко, просто не обо всех из них становится известно в публичном поле. Остается вопрос, насколько успешно компания закрыла доступы к внутренним серверам, ключам и т. д.», — заключили в Forbes.

Ранее EADaily сообщало о ЧП в компании «Яндекс», где один из сотрудников выложил в Сети фрагменты старого исходного кода. В компании инициировали внутреннее расследование.