Замглавы комитета Госдумы по информполитике: история с утечкой кода «Яндекса» смоделирована для дискредитации IT-гиганта

qd6kl3rokg19ykdyw10pz8bh_jw.jpeg

Замглавы комитета Госдумы по информполитике Антон Горелкин заявил, что история с утечкой исходного кода «Яндекса» смоделирована для дискредитации IT-гиганта, но компании удалось минимизировать ущерб.

«Все больше источников сравнивают инцидент с утечкой исходных кодов «Яндекса» и прошлогоднюю атаку на Rutube. И там, и там виновниками называют недобросовестных сотрудников, решивших нанести своей компании вред — правда, в случае с Rutube всё это чуть не закончилось совсем трагично, а Яндексу удалось минимизировать ущерб для своих пользователей.

Но остаётся вопрос репутационного ущерба. Уже встречаю мнения типа «при Воложе такого не было», и делаю вывод, что эта история с утечкой исходников смоделирована для дискредитации российского IT-флагмана. Кому-то сильно не нравится, как компания справляется с геополитическими сложностями ведения бизнеса, при этом оставаясь одним из самых востребованных работодателей в стране. Но, тем не менее, в ней нашлись сотрудники, способные на диверсию — надеюсь, что уже бывшие.

В общем, нашему IT-сектору нужно защищаться не только от внешних, хакерских атак, но и усиливать свои компетенции по борьбе с внутренним врагом — корпоративными диверсиями. А это значит, что усиливать придётся не только сотрудников в сфере ИБ, а ещё и классических безопасников. Расслабленная эра в коворкингах под лавандовый раф, похоже, подходит к концу»

— сообщил Горелкин.

Профильный эксперт одной из компаний в области кибербезопасности рассказал СМИ, что это событие может нести как репутационный, так и коммерческий урон «Яндексу». По его мнению, после внутреннего расследования компания, вероятнее всего, озадачится пересмотром текущих подходов к обеспечению безопасности и организационной структуры, а также изменит архитектуру и процессы разработки.

Сообщество разработчиков ждёт более открытого официального ответа от компании по этому инциденту. Понятно, что это может произойти через некоторое время, но лучше услышать эту историю от ответственных сотрудников, которые отвечали за ИБ.

Представитель «Яндекса» пояснил Хабру, что пока в блоге компании не будет официальной публикации про эту ситуацию. По поводу получения комментариев про публикацию исходных кодов сервисов компании от директора по защите данных «Яндекса» Иван Черевко и директора по безопасности «Яндекса» Антона Карпова в компании уточнили, что они работают в «Яндексе» и дадут комментарии, как будет возможность это сделать официально, но без уточнения, когда именно это произойдёт.

Хроника развития инцидента с публикацией исходного кода из внутренних Git-репозиториев «Яндекса»


26 января 2023 в сети появились исходные коды и сопутствующие им данные множества сервисов и программ компании «Яндекс». Раздача содержит отдельные архивы (.tar.bz2), по названиям которых можно идентифицировать соответствующие сервисы «Яндекса». Общий объём архивов (в сжатом виде) составляет более 44,7 ГБ.
Разработчик Арсений Шестаков пояснил, что в архиве есть только содержимое репозиториев git, персональные данные отсутствуют. Там несколько ключей API, но они, скорее всего, использовались только для тестового развёртывания. Некоторые из архивов содержат исходный код для части сервисов компании, а также документацию, указывающую на реальные URL-адреса интрасети.
«Яндекс» подтвердил Хабру публикацию старых исходных кодов части проектов из внутреннего репозитория. Хакеры выложили архив в открытый доступ и утверждают, что в июле 2022 года скачали исходные коды проектов компании, кроме правил антиспама.

«Никакого взлома Яндекса не было. Служба безопасности Яндекса обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах Яндекса.

Репозиторий — это один из инструментов для разработки внутри большинства компаний, который доступен их разработчикам. Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей. Мы проводим внутреннее расследование.»,

— сообщили Хабру в пресс-службе компании.



В «Яндексе» не увидели какой-либо угрозы для данных пользователей или работоспособности платформы после утечки исходного кода из внутреннего репозитория компании. Источник из «Яндекса» пояснил Хабру, что фрагменты исходного кода попали в открытый доступ по вине одного из сотрудников компании.
Эксперты в первом приближении оценили публикацию исходного кода из внутренних Git-репозиториев «Яндекса».

Архив размером 44.71 ГБ включает срезы Git-репозиториев «Яндекса» с исходным кодом 79 сервисов и проектов компании, среди которых поисковый движок (фронтенд и бэкенд), бот индексации страниц, платформа web-аналитики Yandex Metrika, картографическая система Yandex Maps, голосовой помощник «Алиса», информационная система службы поддержки, Yandex Phone, рекламная платформа Yandex Direct, почтовый сервис Yandex Mail, хранилище Yandex Disk, сеть доставки контента, торговая площадка Yandex Market, бизнес-сервисы Yandex360, облачная платформа Yandex Cloud, платёжная система Yandex Pay, «Яндекс Поиск», «Яндекс Метрика», «Яндекс Такси», «Яндекс Путешествия», «Яндекс 360» и внутренняя система диагностики Solomon.


Комментарий от бывшего сотрудника компании:

Вроде же сто раз уже все обсуждали, что в Я весь код лежит в монорепе (так называемая Аркадия), которая является чем-то средним между SVN и git (ближе к первому, с фишками второго). Вытащить весь код — вопрос одной команды. Read-only режим доступен всем разработчикам.

Политика эта полностью правильная, потому что позволяет быстрее, эффективнее и гибче разрабатывать код, а при воровстве кода все равно непонятно, что с ним делать. Датасеты, данные и прочие вещи с кодом рядом не лежат, а посмотреть как SharedPtr в либке STL от Яндекса сделан — спорная ценность. Как уже давно бывший сотрудник Яндекса могу сказать, что самое ценное в компании — это люди и их очень крутая экспертиза. Наиболее крутые и готовые к миру продукты Яндекс и без того в open source выкладывает (ClickHouse, userver и т.д.), а разбираться (да еще и без инфраструктуры, под которую этот код заточен) в том, как джейсоны из сервиса в сервис перекладываются — это такое себе.

Так что не думаю, что это какой-то существенный урон нанесет (мало того, думаю, кому очень все это надо было, уже давно получили).



Ашот Оганесян (сервис поиска утечек и мониторинга даркнета DLBI):

Это, скорее всего, инсайд, сотрудник уехавший, слил летом, он особо и не скрывает этого. Как отразится на компании — не знаю. Там есть пароли от серверов баз данных. «Яндекс» должен был их давно поменять. Если нет, то будут продолжения утечек данных. Ну слили исходники, ну бывает. У MS сливали, у многих игровиков сливали, безопасников, конечно, надо было разогнать после инцидента с утечкой данных пользователей «Яндекс Еды» и курьеров, они просто не знали, что и где у них есть (забыли старые сервера).



Лука Сафонов («Киберполигон», Bug Bounty Ru):

Исходники таких проектов, как «Такси» и так далее несомненно будут исследованы злоумышленниками для поиска потенциальных возможностей обойти защиту сервиса. Но есть одно но, репозитории с кодом и логика/данные лежали в разных местах. Также исходники будут интересны багхантерам для поиска дыр, разработчикам для поиска новых решений/реализаций. Данные пользователей не пострадали, доступа к инфраструктуре «Яндекса» нет, но есть значительный урон в подаче материала СМИ — «Яндекс» взломали/из «Яндекса» выложили полупубличный код. Это был инсайд. Если бы сломали, что взлом был бы на боевом репозитории. «Яндексу» лучше написать пресс-релиз с анализом ситуации и разбором утекшего кода, переписать функции безопасности, отражённые в репозиториях, если раскрытие архитектуры даже потенциально может влиять на безопасность сервисов.



21 декабря 2022 года «Яндекс» рассказал, что мартовская утечка данных «Яндекс.Еды» произошла в результате атаки на стороннюю IT-инфраструктуру внешнего хостинга, где стояли виртуальные серверы FoodFox, подключённые через VPN в сеть «Яндекс Еды», а не «инсайда или раздолбайства» внутри компании.

dhfrgfywcaisobdanlq8f0vm8ag.jpegСлева директор по защите данных «Яндекса» Иван Черевко, в яркой футболке директор по безопасности «Яндекса» Антон Карпов и рядом с ним технический директор «Яндекс Еды» Никита Илясов.

Заявление об инциденте прозвучало в подкасте Сергея Мезенцева на YouTube. По словам директора по безопасности компании Антона Карпова, злоумышленники взломали внешний хостинг, на котором располагались виртуальные машины сервиса. Эти серверы достались в «наследство» от компании-предшественника «Яндекс.Еды» под названием FoodFox.


«Это безусловно наша вина, но немного греет, что сломали не «Яндекс», — заявил в подкасте Карпов. Сразу после того, как в компании убедились, что база данных — не компиляция и не фейк, они решили рассказать об этом своим пользователям. Первоначальную версию о сливе данных сотрудником в компании выдвинули потому, что там не видели следов взлома. Но дальнейшее расследование показало, что атака произошла через внешний хостинг за пределами «Яндекса».

© Habrahabr.ru