Неизвестные выложили в сеть исходные коды многих сервисов «Яндекса», общий объём которых составляет 44,7 ГБ. Как отмечают эксперты, теперь злоумышленникам будет легче находить уязвимости в сервисах. Потенциально это может привести к нестабильно работе самих сервисов, а также спровоцировать утечки пользовательских данных. В «Яндексе» уже начали внутреннее расследование произошедшего.
Проприетарный исходный код был опубликован в онлайн-сообществе BreachForums. Раздача содержит отдельные архивы (.tar.bz2), по названиям которых можно идентифицировать конкретные сервисы «Яндекса». Среди них поисковая система и индексирующий бот, «Яндекс.карты», «Алиса», «Яндекс.такси», «Яндекс.директ», «Яндекс.почта», «Яндекс.диск», «Яндекс.маркет», «Яндекс.путешествия», «Яндекс 360», «Яндекс.облако», «Яндекс.pay», «Яндекс.метрика». При этом данные выложены с комментариями и документацией. Есть в файлах также серверная часть больше части других сервисов компании.
По мнению экспертов, опубликованные файлы были скопированы из внутреннего репозитория «Яндекса», что говорит о том, что источником утечки стал кто-то из сотрудников, имеющий доступ к внутренним инструментам разработки проектов. При этом версию взлома они опровергли.
В архиве есть исходники некоторых сервисов компании, но не сами репозитории с коммитами и ветками, и, вероятно, злоумышленник, перед тем как выложить почистил .git папки. Под статью КоАП РФ утечка не подпадает, так что компанию не оштрафуют.
«Архив представляет собой содержимое репозитория, файлы в котором датированы 24 февраля 2022 года. Он не содержит истории git, в основном – только код. В документах также нет готовых двоичных файлов для больше части программ, за редким исключением, и почти нет предварительно обученных моделей ML, - уточняет разработчик игр Арсений Шестаков.
Опрошенные специалисты отмечают, что утечка не содержит личных данных. В документации можно найти несколько ключей API, но они использовались только для тестирования на этапе развёртывания проектов.
Бывший топ-менеджер компании «Яндекс» Григорий Бакунов в своем Telegram-канале сообщил, что выложенные архивы подходят лишь для изучения кода.
«Важно понимать: по сути это довольно бесполезно, подходит для изучения кода, но запустить из этого свой "Яндекс" не выйдет, – пишет Бакунов. – Во-первых, попробуйте хоть что-то оттуда собрать, это очень не очевидно и часто требует внутренней инфраструктуры "Яндекса". Во-вторых, для ИИ-проектов нет самого главного – натренированных весов, т.е. модель, которая у вас получится после сборки, просто не обучена. Датасета для обучения тоже нет».
Со своей стороны, в «Яндексе» подтвердили, что были опубликованы исходные коды нескольких проектов из внутреннего репозитория, инструмента для разработчиков, который необходим им для работы с кодом. Правда, в компании отметили, что все они старые и неактуальные. Злоумышленники выложили архив в открытый доступ, заявляя, что он был скачан в июле 2022 года.
«Никакого взлома "Яндекса" не было, – уточнили представители компании. – Служба безопасности "Яндекса" обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах "Яндекса". В настоящее время компания проводит внутреннее расследование инцидента».