Бирюльки №731. «Яндекс» потерял все данные. Дыра в безопасности IT‑гиганта

Привет.

Существуют истории, которые трудно переоценить, но при этом в публичном поле их обсуждение сводится к скупым новостям, значения им не придают. Медиа не могут составить логическую цепочку и сделать выводы о том, что это значит на самом деле. Такой историей стала утечка внутри «Яндекса», так как она была неизбежна, равно как и последующие утечки такого рода. Логика и знание контекста вас никогда не подведут, повторяемость событий очевидна, и если компания не уделяет внимания безопасности, она будет все время терять те или иные данные. Кажется, что это самоочевидно, но далеко не для всех. Более того, часто используются демагогические приемы, которые должны ослаблять проблему для конкретной компании, когда утверждается, что утечки данных — это нормально и их допускают все без исключения. Любое обобщение всегда должно предупредить о том, что нас пытаются обмануть. Не все компании допускают утечки, более того, такие утечки не превращаются в постоянные. Будьте внимательны и попытайтесь понять, чего от вас добиваются, а главное, зачем. Начнем выпуск с самой абсурдной и безумной истории, связанной с утечкой данных, — про то, как построил свой бизнес «Яндекс». Поехали!

Table of Contents

Утечка в «Яндексе», уроки рабочих чатов в Telegram

У «Яндекса» в публичный доступ утекли исходные коды всех продуктов и сервисов компании, там же документация, ссылка на рабочие чаты в Telegram. Описание утечки и разбор того, что это значит для компании, у нас были в отдельной статье, там все подробно описано, равно как и то, почему это плохо для всех — как для пользователей, так и для «Яндекса». Повторяться тут не буду.

Тут давайте остановимся на информационной безопасности у российского IT-гиганта, а именно на организации работы в Telegram. Напомню, что «Яндекс» не имеет никакого отношения к Telegram, это сторонний и чужой продукт, на который компания не оказывает никакого влияния. Выбор Telegram как платформы для рабочих чатов (помимо почты и других средств ведения проектов), очевидно, проистекает из удобства. Сотрудники компании пользуются Telegram в повседневной жизни, одна программа удобнее, чем несколько разных. И вот тут возникает самый большой вопрос о том, насколько такой стиль ведения бизнеса допустим в принципе.

Давайте начнем с самого простого. Любой сотрудник «Яндекса» (ну или почти любой) может использовать личное устройство, например, смартфон или компьютер. Формально действуют разнообразные политики безопасности, например, вы должны осуществлять вход в корпоративную сеть, не можете отправлять по почте те или иные вложения — одним словом, привычный набор ограничений корпоративного мира. Но никаких особых ограничений на смартфоны с Telegram нет, документы можно фотографировать, сканировать, делать их копии и отправлять в мессенджере. Абсурдность ситуации заключается в том, что Telegram не является одобренным мессенджером на уровне компании, но им все пользуются в рабочих целях! Более того, обходные пути для публикации внутренней информации описываются в самих рабочих чатах, и такое поведение является нормой.

Из утечки мы знаем, что многие разработчики обсуждали функции сервисов и приложений в группах, созданных в Telegram. Для подключения к ним нужно было иметь только ссылку, никто не проверял, кто вы и откуда. После утечки все эти группы спешно начали закрывать (вот интересно, злоумышленники до публикации выкачали оттуда обсуждения?). Оценить ущерб от этих групп в «Яндексе» точно не смогут, у них просто нет такого инструмента. Нет доступа к самому приложению, крупнейшая IT-компания России оказалась очень беспечной и не соблюдала элементарных правил безопасности. Обычно за такие вещи выставляют за дверь с волчьим билетом, так как это тотальный непрофессионализм отдела безопасности. У них под носом сотрудники создали лазейки и перенесли рабочее общение за пределы защищенной среды. И все смотрели на это сквозь пальцы! Многие годы ситуация была именно такой. Я правда не знаю, что тут можно сказать и как можно это прокомментировать. Беспечность? Жизнь в смузишной, где все любят друг друга? Такое отношение к собственной безопасности хорошо объясняет, почему у «Яндекса» постоянно случаются те или иные проблемы с пользовательскими данными. То приложение навигатора подслушает разговоры в машине и отправит их целиком на серверы компании, то еще что-то случайно произойдет. Разработчикам просто плевать на происходящее, и этим все сказано. Внутри «Яндекса» проблемы с безопасностью носят системный характер, и это доказано событиями последних лет. Что в будущем аукнется компании неоднократно, ситуацию нужно менять как можно быстрее и, что называется, вчера.

Надо отметить, что «Яндекс» совсем не одинок в использовании сторонних продуктов для общения сотрудников как внутри компании, так и вне ее. Изюминка тут в том, что компания сама создает такие продукты и продает их (в том числе мессенджер для корпоративных клиентов, но сами они им не пользуются!). Хороший пример — это американский рынок и ситуация в Morgan Stanley. Благодаря публикации в Financial Times стало известно, что сотрудники получили штрафы за общение по рабочим вопросам вне корпоративного мессенджера или почты, размер штрафов — от нескольких тысяч долларов до миллиона. Штраф напрямую зависит от положения сотрудника в компании, ценности информации, от того, первый это случай или нет. Звучит как нечто невообразимое? Но компания в своем праве, плюс в США для финансистов есть проблема в лице комиссии по ценным бумагам — SEC. Последняя в прошлом году вынесла штрафы на 1.8 млрд долларов 16 банкам и финансовым компаниям за использование сторонних мессенджеров для передачи той или иной финансовой информации. То есть фактически государство наказывает банкиров за то, что они используют средства передачи сообщений, не подконтрольные SEC. Это закон, и компании должны обеспечивать защиту информации, но в сторонних мессенджерах они этого сделать не могут.

История началась не вчера, в 2020 году два топ-менеджера Morgan Stanley были уволены за обсуждение сделки в WhatsApp. Количество штрафов разных компаний в Америке идет на сотни, крупнейший штраф был уплачен в 2021 году — 200 млн долларов. Понятно, что это финансовая сфера, тем не менее, интересен подход государства, которое активно искореняет эту проблему. Но если там это активность отдельных сотрудников, которые делают как им удобно, то в России это корпоративная культура того же «Яндекса», где вся компания сидит в таких чатах. Вот такая диалектика.

Неверное описание товара на «Яндекс.Маркете» и его результат

Выбирал небольшой подарок, подумал, отчего бы не приобрести насос для машины на аккумуляторе, и обратился к консьержу от «Яндекса» в Telegram. Подборку товаров консьерж делает разумно, причем не только на «Яндекс.Маркете», но и на других площадках, включая прямых конкурентов, в этот раз у меня был также «Озон». Частично работу проделывает робот, но последние штрихи, насколько я могу судить, исходят от живого человека. Такая комбинация выглядит выигрышной всегда. Про консьержа и его запуск рассказывал, но думаю, что нужно будет рассказать в отдельном материале, что он умеет, почему удобен и решает множество проблем сервиса от «Яндекса», позволяя получить качественную поддержку. Про нее, собственно, и пойдет разговор.

Мне предложили на выбор разные модели насосов, первой шла позиция, что стоит заметно дороже, чем у других компаний, — почти 5 000 рублей, аналоги по дизайну — около 2 800 — 3 000 рублей.

Вчитываюсь в описание, вижу, что он изготовлен из «качественного сплава», в то время как недорогие модели в описании всегда содержат слово «пластик». В подарок лучше взять подороже, заказываю этот вариант.

Приезжает насос, корпус из пластика, никаких отличий от моделей, что стоят меньше, нет. Нарвался на продавца, который убирает из описания опознавательные характеристики модели, чтобы создавалось впечатление о том, что это нечто иное. И есть часть покупателей, которые выбирают подороже, так как думают, что приобретают товар иного качества. Увы, это ровно такой же насос, какой другие продают примерно за три тысячи рублей.

Вот описание такого насоса, которое сделано верно, есть название модели, указывается прямо в строке, из чего изготовлен корпус.

Написал консьержу, что, увы, описание не соответствует действительности. В течение пары часов (для «Яндекса» это, считай, моментально) мне предложили вариант решения вопроса: вернуть насос и получить деньги либо получить на счет 2 800 баллов «Яндекс.Плюс», которые можно затем потратить. То есть фактически мне вернули разницу — делается это за счет штрафа продавца, который допустил неточность в описании. К слову сказать, описание исправили, теперь там прямо написано, что корпус из пластика.

Мне история показалась важной с точки зрения того, что зачастую можно найти в магазинах одни и те же товары с разными описаниями. В этом случае нужно уточнить, что именно вам продают, узнать артикул товара у производителя. И если продавец не говорит его либо вы не можете найти описание такого товара у производителя, то перед вами те, кто старается придумать новое качество для обычного товара. А если ошиблись, то ничего страшного — описание должно соответствовать тому, что вам продают, и, как правило, площадка встает на вашу сторону. Но тут все упирается в то, сможете ли вы получить поддержку, тот же консьерж доступен не всем клиентам «Яндекса», он работает только по приглашению от компании.

Взлетит ли крокодил на самолете в Америку? Отвечает Алиса

Не устану повторять, что половина тем, если не большая их часть, появляются с вашей подачи, приведу историю от Дмитрия про Алису в умной колонке и его ребенка:

“Добрый день Эльдар.

Многие годы читаю вашу аналитику. Заметил, что в последнее время внимание уделяется Яндекс и их продуктам.

В контексте изучения материалов о когнитивных войнах я периодически поражаюсь как некоторые словесные обороты программируют нас на негатив.

Вернемся к Яндексу. Сегодня состоялся интересный разговор ребёнка и Алисы в процессе игры в «почему крокодилы не летают».

Суть игры, Алиса задает некоторые параметры предполетной подготовки крокодила и ребенок должен угадать, взлетит ли крокодил.

Так вот, вопрос «если крокодила посадить в самолёт который летит в Америку» взлетит или нет?

Алиса: нет не взлетит, потому что россиянам не дают визы в америку и крокодилам тоже! 😡

Как это назвать как не программированием? Америка не только вокруг США крутится же… и вообще ломают логику ребенку, ведь крокодил, являясь пассажиром самолета взлетит”.

История любопытная, но даже не частным случаем, который можно назвать ошибкой, осознанной или случайной, это не играет роли. В этом случае Дмитрий отловил данную ошибку и исправил ее, объяснил ребенку логику происходящего. Но давайте уйдем от частного к общему.

Мы знаем, что умные колонки умеют рассказывать сказки и это нравится детям. Попытался найти отзывы родителей о навыке Алисы, но на сайте компании есть только оценка в 3.7 балла из пяти. Всего более 2000 оценок, так что можно считать, что они более-менее отражают реальность.

Быстро пробежался по сайту «Яндекса», нашел описание навыков, рассказ о том, что можно сочинять сказки вместе с Алисой, но ничего об источнике самих сказок. И тут принципиальный вопрос о том, что именно зачитывается детям, ожидать, что привычная история про Дюймовочку вдруг превратится в нечто иное, наверное, нельзя. Но когда вы работаете с детьми, нужно четко указывать, что именно и откуда вы берете. Чтобы у родителей не было сомнений в том, какого качества контент предлагается детям. Конкретно в истории с крокодилом навык создан сторонней компанией, а не «Яндексом». Вопрос работы модераторов и того, насколько они обращают на это внимание.

В России, насколько мне известно, нет никаких ограничений для издания детских книг и сказок, то есть вы можете придумать произведение для детей и затем его напечатать. Цензура и проверка таких изданий отсутствуют, только обязательная маркировка возраста. Если оказывается, что в книге содержится что-то не то, она просто изымается из продажи. Упрощенно описываю процедуру, но она выглядит именно так.

Давайте сделаем следующий шаг — в «Яндексе» создают диалоги и развлечения для детей, делают их взрослые люди со своими убеждениями и взглядами на жизнь. Например, у Алисы бессмысленно спрашивать про жизнь в России, ответы будут очень странными. Про другие страны она отвечает бодрее. И получается, что детские развлечения в «Яндексе» никак и никем не проверяются, кроме собственно компании, а она отдает это на откуп отдельным людям. Выходит, что такие вещи никак не оцениваются, и получается история с крокодилом. Она смешна для взрослого, у ребенка же действительно ломает логику. А сколько таких скрытых крокодилов есть в играх от «Яндекса»? Думаю, что много. И не так важно, кто именно создал эти навыки, сам «Яндекс» или кто-то внешний, вопрос в конечном результате и в том, чей это продукт в итоге. Алиса — это продукт от «Яндекса», и этим все сказано.

Наилучшим выбором будет формирование для любой компании, что создает детские продукты, некого общественного органа, в который войдут педагоги, детские писатели, возможно, психологи. И они будут советовать, что именно можно делать, а чего делать не стоит. Потому что сейчас продукты для детей создаются взрослыми, которые, по большому счету, ничего не знают о таких продуктах и делают их по наитию. Это вовсе не значит, что их нельзя делать, — можно и нужно. Но подход должен быть очень аккуратным, так как навредить здесь можно сильно, а исправлять этот вред придется долгие годы.

И самое важное — появление смартфонов и компьютеров не снимает с родителей ответственность за воспитание детей. Именно на родителях лежит выбор того, что их дети будут читать, во что играть в маленьком возрасте и так далее. И выбор этот нужно делать аккуратно.

Я против излишнего регулирования продуктов для детей, такое регулирование может ограничить развитие рынка. Но жизнь без правил вовсе, когда каждая компания делает что угодно и никак за это не отвечает, тоже выглядит плохим решением в аспекте детей. Нужна какая-то золотая середина, вопрос, где и как ее найти. Но точно это не вопрос запретов.

Возвращаясь к крокодилу и игре от «Яндекса»: а что, если крокодил гражданин США, он тоже не сможет полететь? Или крокодилу обязательно нужна виза? Вопросов много, ответов от Алисы нет.

Apple не будет разрабатывать собственный Wi-Fi-чип

Впору вводить рубрику «А я говорил», хотя мне такая форма и не близка вовсе. Аналитик Мин-Чи Куо часто озвучивает внутреннюю информацию из Apple, и вот от него пришла новость — в Apple временно остановили разработку собственного модуля Wi-Fi для своих устройств. Причины этого решения не приводятся, но мы уже обсуждали их в отдельном материале. Если коротко, то никто и не собирался на деле разрабатывать такие компоненты, это часть торга с поставщиками, чтобы выбить из них лучшие условия. Что и требовалось доказать на практике, закупки согласованы, в блефе больше нет нужды.

Мошенники и неизменность скриптов — очередные звонки

Обратил внимание, что все большее число людей прекратили снимать трубку в ответ на звонки незнакомых людей, а следующим этапом — и вовсе принимать звонки как таковые. Общение перешло в мессенджеры, в том числе и голос. Посмотрите на пропущенные звонки у моей коллеги, цифра говорит сама за себя. В списке звонков видно, что большая их часть от организаций, мошенников и телемаркетинга.

Наши читатели часто не отвечают на звонки, опрос красноречиво говорит о современных нравах.

Опрос можно найти тут

В силу специфики работы у меня много звонков, в том числе с незнакомых номеров. Журналисты, редакции разных изданий обращаются за комментариями, в день минимум десяток звонков. Часто это люди, которые звонят впервые, знать их номера я не могу. Так что стараюсь отвечать, но порой занят и не снимаю трубку. Или вовсе сбрасываю звонок.

И вот тут начинается самое интересное, так как различается поведение звонящих. Если это люди, которые набирают мой номер по рабочим вопросам, они пишут в мессенджере, описывают, что им нужно, и спрашивают, когда мне удобно поговорить или записать комментарий. Предельно просто, правильно и понятно.

Мошенники так не поступают, они ничего не пишут, а жаждут прямого общения. И настойчиво стараются дозвониться. Когда есть время, я общаюсь с этими ребятами, интересно проходить по их скриптам, слушать, что тебе говорят и как настроено общение, — это всегда массовое обслуживание, скрипты, которые остаются более-менее неизменными. На этой неделе смотрел, есть ли отсечка для мошенников по неразумности суммы остатка на счету, — оказалось, что нет. Говорил, что на счету 700 млн рублей, мошенники пытались идти по скрипту, не задумываясь о реальности такого события. И даже кредитная линия в 3 млрд рублей их не очень смутила, и они пытались объяснить, что некто мог попытаться взять еще один кредит от моего лица. Скрипт не допускает особых изменений в обсуждении, что делает мошенников заложниками происходящего. Желающие могут послушать два разговора, выкладывал их в Telegram-канале.

Второй мошенник оказался обиженным и попытался доставить неприятности в меру своих сил и разумения. Украинский товарищ направил ряд звонков в ночи на мой номер. Жаль, что он не знал, что у меня выключен звук (выключается автоматически в определенный часовой интервал), включается автоответчик и появляется расшифровка звонков в Telegram. С утра увидел, что все эти звонки пустые и от мошенников, номера ушли в блокировку. Один из мошенников ответственно подошел к вопросу, написал в WhatsApp, рассчитывая, видимо, что я брошусь отвечать, как только увижу его «Привет». Но нет никакого смысла, да и WhatsApp я пользуюсь весьма отрывочно, могу долго туда не заглядывать. Даже не стал блокировать номер в мессенджере.

Часто слышал о том, что люди боятся общаться с мошенниками и вызывать их реакцию, ведь они могут как-то навредить. В действительности это практически невозможно, для мошенников это работа, и они тратят свое время не на какую-то виртуальную месть, а на то, чтобы повысить свой доход. Соответственно, любой звонок, чтобы кому-то досадить, — это минус из потенциального дохода. Пытаются проучить особо умных и наглых, как вышло в моем случае, причина тоже прагматичная: чем больше таких людей, тем хуже условия работы для мошенников в конечном итоге. И условия для них ухудшаются — с Украины колл-центры переехали в Прибалтику и Польшу, мужчин в них стало заметно меньше. Ряд законов, принятых в России, введенные системы антифрода на сетях операторов резко уменьшили число мошеннических звонков. Победить эту проблему на сто процентов невозможно, такой подход утопичен. Но сократить число звонков реально, и это происходит. Как следствие, создаются условия, при которых мошенники больше не могут обманывать людей настолько массово, плюс и сами люди становятся более подкованными, прекращают общение с ними. Все вместе указывает на то, что мошенники на какое-то время уйдут в тень, они будут искать новые схемы для обмана. Наверняка найдут какие-то варианты, но то, как их эффективно выдавили в мессенджеры из голосовых звонков, говорит о том, что система работает.

Пара слов о кризисе на примере Intel и других компаний

Пэт Гэлсингер (глава Intel): «Мы ожидаем, что потребление серверов в первом квартале [общий адресуемый рынок — TAM] будет снижаться как последовательно, так и по сравнению с прошлым годом ускоренными темпами, при этом потребление серверов TAM в первом полугодии 2023 года снизится по сравнению с прошлым годом, а затем вернется к росту во второй половине».

В четвертом квартале выручка Intel упала на 32% (14.04 млрд долларов), продажи падают четыре квартала подряд. В Intel отказываются давать прогноз на 2023 год, объясняют это макроэкономической ситуацией. От продажи чипов Intel получила выручку 6.63 млрд долларов, что почти на сорок процентов ниже прогноза компании, данного раннее. Падают продажи чипов для дата-центров. В Intel планируют увольнения, расходы компании должны сократиться на 3 млрд долларов в год. Ситуация в Intel очень негативная, компанию лихорадит несколько лет — им нужны качественно иные продукты. Акции за один день улетели вниз на 10%, но от минимальных значений они далеки.

В аспекте происходящего хорошо иллюстрирует картину кризиса рынок смартфонов в мире. Появились данные от IDC за четвертый квартал и весь прошлый год, давайте взглянем на них.

Обратите внимание на то, что четвертый квартал оказался неудачным для всех компаний без исключения (это поставки в канал, а не розничные продажи — последние рухнули еще больше). Версия IDC, мягко говоря, оптимистична, в отчете указывается, что цифры могут быть пересмотрены, как правило, этого никогда не происходит. В данный момент можно говорить о том, что в 2023 году рынок может уйти на уровень в 1.1 млрд смартфонов практически гарантированно, быть может, он еле-еле достигнет миллиарда штук.

В начале года очень силен хор голосов тех топ-менеджеров, что рассуждают об улучшениях экономической ситуации во втором полугодии 2023 года. Но это не какой-то расчет, что базируется на знании, скорее мантра, сходная с призывом дождя крестьянами, когда засуха стоит слишком долго и губит урожай. Объективных предпосылок для того, чтобы рынок сильно изменился, нет, себестоимость производства электроники растет во всех уголках мира без исключения. Равно как и стоимость продаж этой электроники, хотя тут постоянно меняются составляющие цены — то вырастет логистика, то снова упадет до приемлемого уровня. Но зато возрастет цена аренды или расходы на персонал. Нет привычного баланса, когда себестоимость не менялась годами и можно было прогнозировать, что рынок будет плюс-минус предсказуемым. Это как у Талеба концепция черного лебедя, которого невозможно предсказать, а он меняет правила игры. Возможно, что мы приближаемся к такой ситуации, и очень быстро. Неопределенность становится новыми правилами игры, но при этом не трактуйте мои слова как исключительно негативные для рынка и всех компаний. Работать можно и нужно, в условиях кризиса возможен рост, но не для всех. Это время очищения от ненужного, бессмысленного, чистка днища корабля от ракушек. И те же увольнения, о которых мы постоянно говорим, ровно из той же области — компании не готовы тянуть на себе социальную ответственность за такие раздутые штаты. Плюс меняются правила игры, работать теперь нужно больше и активнее. Не всем это приятно, но что поделать — жизнь становится другой.

P.S. На выходных был на нескольких выставках в Петербурге, на одной ко мне подошел мужчина и поблагодарил за работу, сказал, что давно читает сайт. В ситуации нет ничего необычного, такое происходит более-менее постоянно, но хотел заострить внимание на другом, на том, что заставляет меня смотреть в будущее с оптимизмом. Люди у нас научились говорить друг другу спасибо, более того, благодарить за то, как другой человек делает свою работу. Для меня это показатель того, что все эти люди умеют ценить и то, что делают сами, свой труд. Без уважения к своему труду нельзя сказать спасибо другому человеку, это в принципе невозможно. Раскручивая логическую цепочку, могу утверждать, что также такие люди обычно делают свою работу хорошо. Поэтому не стесняйтесь говорить другим людям то, что вы думаете, будьте искренними (негатив, конечно, высказывать тоже можно, но зачем?).

В восемь вечера по Москве у нас появится два обзора новых устройств, которые составят сильную конкуренцию продуктам от «Яндекс», так что приходите почитать — одно из них обозвал кактусом, оно мне напоминает это растение и отлично смотрится в интерьере. Нет всепоглощающего восторга, но конкуренция творит чудеса, и то, что получилось, подтолкнет компании еще активнее бороться за потребителя. Одним словом, будет интересно, заглядывайте вечером.

И традиционно хочу пожелать вам удачной рабочей недели, чтобы дела складывались как надо, вы все успевали и не уставали сверх меры. Хорошей недели!

[email protected]
наверх