Утечка программного кода сервисов «Яндекса». Почему это важно для всех

Привет.

25 января 2023 года на одном из форумов появился файл размером в 44.7 ГБ, в нем содержались исходные коды большинства продуктов «Яндекса» из внутреннего репозитория. Помимо кода, в файле можно найти подробную документацию, комментарии и утилиты для разработчиков. Фактически утечка затронула все продукты, которые в «Яндексе» создавались последнее десятилетие, их код стал общедоступным, он скомпрометирован. Ситуацию можно назвать беспрецедентной, ничего подобного в России не происходило. С другой стороны, год назад именно «Яндекс» первым допустил утечку данных своих клиентов в сервисе «Яндекс.Еда», общедоступными стали как номера телефонов, имена клиентов, так и их заказы, адреса и даты, на которые они их делали. В конечном итоге «Яндекс» заплатил за ту утечку 60 тысяч рублей, несмотря на то, что утекли персональные данные клиентов. Но после целой череды утечек от разных компаний в России стали двигаться к принятию закона об оборотных штрафах за утечку персональных данных.

Реакция «Яндекса» на утечку данных из репозитория привычно не соответствует масштабу произошедшего, комментарии пресс-службы сводятся к тому, что ведется внутреннее расследование. Оказывается, не в прессе обнаружили утечку, а это сделала «служба безопасности Яндекса», но нетрудно предположить, что нашли они этот код в одной из статей, где подсветили утечку. Интересно, что именно те, кто украл коды, это и сделали, продвигали свою историю, чтобы нанести максимальный ущерб «Яндексу». Шедевром от пресс-службы можно назвать фразу о том, что коды из репозитория отличаются от тех, что используются «Яндекс» в своих сервисах сегодня.

Чтобы вы поняли проблему, скажу, что коды продуктов пишут не один день, даже не месяц, это годы работы. И никто не меняет тот программный код, который работает, он остается неизменным. Поэтому комментарий пресс-службы «Яндекса» показывает, что люди либо не понимают этого, либо пытаются сделать хорошую мину при плохой игре, скорее второе. И даже при желании «Яндекс» не сможет изменить код своих сервисов за считанные месяцы, на это уйдут годы. Поэтому данная утечка так важна, и, более того, при правильной оценке рисков на работу с ней у компании уйдут огромные средства и время.

Модель безопасности для любой IT-компании предполагает, что нападающие не знают или плохо ориентируются во внутренней кухне. В случае, когда известно, что нападающие полностью знают коды программных продуктов, могут спокойно искать в них уязвимости, необходимо исправить все проблемные коды в кратчайшие сроки. То есть как минимум нанять команду, которая начнет проделывать ту же работу, что могут сделать потенциальные атакующие, плюс постепенно заменять сам код. Второе, как я писал выше, сделать быстро невозможно. Отсюда необходимость поиска дыр, латание их заплатками. И это действительно большая головная боль.

Можно поступить так, как это обычно делает «Яндекс», — закрыть глаза на проблему и сделать вид, что ее не существует. И в моменте это точно поможет, история забудется, она сама собой рассосется, постепенно о ней перестанут говорить. Но ровно до момента следующей утечки данных, которая уже точно затронет и пользовательские данные. В том, что это рано или поздно произойдет, нет никаких сомнений.

Ошибки случаются у всех, от них никто не застрахован. Но когда они превращаются в повторяющееся действие, возникает серьезная проблема. К сожалению, утечки в «Яндексе» — это системное явление, причем мы говорим только об утечках, которые стали известны публично, с большим эффектом в медиа. Сотни утечек меньшего масштаба нам неизвестны, но они происходят постоянно. И то, что к данным имеют доступ сотрудники, которые готовы слить их легко и просто, делает ситуацию взрывоопасной.

В отличие от операторов сотовой связи, где проблема утечки персональных данных, списка звонков и другой информации актуальна и привлекает внимание, «Яндекс» остается вещью в себе, мы не знаем, что происходит в компании. Никакого аудита данных, сделанного независимыми игроками, не существует, а это означает, что уязвимости существуют, в том числе и в виде сотрудников, которые эти данные «выносят» вовне. Природа людей не знает исключений, процент тех, кто хочет и может заработать на чужих данных, примерно такой же, как у мобильных операторов. Догадались, к чему я веду? Идейные борцы составляют меньшинство, но вот среди тех, кто готов поделиться вашими данными из разных сервисов «Яндекса», включая поисковые запросы, заказ такси и еды, активностью на устройстве, их заметно больше. Это не массовый рынок, стоимость таких данных очень высока, но, в отличие от мобильных операторов, они полностью обрисовывают картину того, кем является человек и чем он живет. Повлиять на это вы никак не можете, остается только скрестить пальцы и надеяться, что вы не привлечете внимания тех, кто может доставить вам неприятности.

Обратите внимание, что утечка «Яндекс.Еды» не получила продолжения, в «Яндексе» заявили, что обратились в правоохранительные органы, существует некий сотрудник, который допустил утечку. Но никаких деталей больше не появилось. Рискну предположить, что сотрудник находится не в России и никак не ответит за свои действия, внутри «Яндекса» очень берегут взаимоотношения и поэтому до последнего времени старались не давить на сотрудников, даже на тех, кто совершал преступления в прямом смысле этого слова.

Назвать происходящее свинством по отношению к компании или коллегам нельзя. Это больше, чем свинство. Прямое и неприкрытое преступление, причем ущерб от него огромен. Но люди считают, что они могут так поступать, тем более что у них нет страха наказания. В «Яндексе» продемонстрировали на примере утечки данных из «Яндекс.Еды», что можно не бояться чего-то такого, компания не будет преследовать людей до победного конца. Поинтересовался внутри «Яндекса» о том, как изменились процедуры, общение с людьми после утечки «Яндекс.Еды». Ответ меня поразил до глубины души — в компании разослали одно письмо (одно!), в котором попросили следить за данными, ограничили число тех, кто имеет доступ к данным сервисов. Заодно проделали процедуру, в которой пользователи могут удалять свои данные в сервисах.

Понятно, что внутренняя работа по объяснению людям того, что значат утечки, как они влияют на компанию, это большой труд. И это то, что нужно делать. Но внутри «Яндекса» ничего такого просто не произошло, в компании предпочли «забыть» о своих проблемах. И они вернулись вновь в виде очередной утечки. Возможно, что проведи в «Яндексе» такую работу, и сегодняшняя утечка стала бы невозможной в принципе.

На рынке существует несколько версий того, зачем кто-то выложил исходные коды сервисов «Яндекса». В профессиональной среде придерживаются мнения, что это осознанный шаг той части команды, что уезжает в другие страны, они облегчили себе работу на новом месте. Легально передать код той же Алисы вовне они не могли. Теперь же за счет утечки он стал общедоступным. Причем, скорее всего, натренированные модели утекли ровно так же, просто мы об этом не знаем. Пользовательские данные кто-то мог приобрести, так что тут мы также не узнаем об их утечке. Версия имеет право на жизнь.

Дата файлов — 24 февраля, то есть намек на политический контекст присутствует, но возможно, что это ложный след. С другой стороны, многие годы в «Яндексе» нанимали людей с определенными политическими пристрастиями, тех, кто искренне ненавидит Россию, точнее, существующее государственное устройство. Приход Алексея Кудрина в руководство компании — это как раз меры государства по исправлению ситуации, зачистке компании от подобных мыслей и действий. На этом фоне легко предположить, что утечка — это как раз демонстрация шиша в адрес государства.

Вне зависимости от того, чем продиктованы эти действия, можно утверждать, что их осуществил человек внутри компании. Информационная безопасность в «Яндексе» поставлена из рук вон плохо. И я могу это утверждать, так как «вынести» 44 ГБ данных и не привлечь внимания невозможно. Это не иголка в стоге сена, тот, кто это сделал, должен был привлечь внимание службы безопасности. Но если посчитать, что она работает так же, как пресс-служба, все встает на свои места.

Для нас с вами утечки, что случаются в «Яндексе», означают простую штуку — надо быть готовыми к тому, что рано или поздно в публичном доступе окажутся другие данные. Ваши поездки на такси, заказы еды, товаров на «Маркете», запросы и то, что вы говорили Алисе. Мы не знаем, что и когда утечет, но то, что утечки подобного масштаба происходят и никто не несет наказания внутри компании, говорит о том, что это может повторяться. Штраф в 60 тысяч рублей — это ничто для «Яндекса». Никто из руководства не понес наказания, не было сделано никаких инвестиций в защиту данных и усиление безопасности. Утечки не учат «Яндекс» ничему.

Ни в коем случае не призываю вас отказываться от «Яндекса» прямо здесь и сейчас, но вы должны соизмерять свои риски, правильно их оценивать. Что будет, если завтра все ваши данные о поездках появятся в свободном доступе? Критично это для вас или нет? Оценивайте этот момент правильно. Для себя решил, что постепенно буду переводить все данные из «Яндекса» на обезличенный номер телефона (он не связан со мной, нигде не использовался), так как риски утечки возросли очень сильно.

Со стороны Минцифры и других ведомств необходимо инициировать аудит информационной безопасности в «Яндексе», так как компания сегодня обладает огромным массивом данных о жителях страны и эти данные, судя по всему, защищены очень плохо. Утечки это доказывают. Плохо, что это не было сделано после первой масштабной утечки год назад. Интересно, если утекут данные пользователей, то какую позицию займут чиновники? Что они не имеют к этому никакого отношения и это дело частной компании?

К сожалению, многие не осознают масштаба происходящего в «Яндексе» и того, насколько это аховая ситуация для всех нас. Жаль, но наши права никто не торопится защитить, ни «Яндекс», ни государство в лице разных ведомств. То, что продукты «Яндекса» проникают в наши дома, в место, где мы наиболее беззащитны (примерно у миллиона семей есть голосовые колонки «Яндекса», которые работают нон-стоп), делает ситуацию еще более сложной. И меры нужно было принимать еще вчера, сегодня уже поздно. Но даже сегодня ничего не происходит, ситуацию просто заметают под коврик, так как она неудобна для всех без исключения. Поэтому ждем следующих утечек, они точно будут, вопрос только в их масштабе.

[email protected]
наверх