В компании «Яндекс» опубликовали результаты расследования утечки, которая случилась 25 января. Тогда сообщалось, что в открытом доступе оказались 45 гигабайт исходного кода таких сервисов, как «Почта», «Диск», «Такси» и других.

По итогу расследования компания признала, что исходный код действительно взят из внутреннего хранилища данных — репозитория. При этом сообщается, что опубликована устаревшая версия кода. Также в компании заявили, что фрагменты кода не несут угрозы для безопасности пользователей или работоспособности сервисов.

Некая опасность все же существует, говорит технический директор компании — разработчика IT-продуктов HFLabs Никита Назаров.

Никита Назаров технический директор компании — разработчика IT-продуктов HFLabs «45 гигабайт исходников — это не фрагменты. Это полный код основных сервисов «Яндекса», не 100% кода «Яндекса», но значимая его часть, конкретный процент я не назову, но для реверс-инжиниринга, для понимания того, как устроены сервисы, этого более чем достаточно. Коллеги говорят, что утечка не несет угрозы для безопасности пользователей, работоспособности сервисов, но на самом деле основной риск именно здесь и кроется, потому что придумать большего подарка для людей, которые занимаются взломами, сложно. Одно дело, когда ты стучишься в закрытую дверь, и совсем другое, когда тебе дали все чертежи этой двери, все устройство замков к ней, тебе просто нужно найти правильную точку, куда нажать, куда постучаться, чтобы произвести взлом. Когда коллеги говорят, что код, который утек, не соответствует его актуальному состоянию, это действительно так, но фишка в том, что работа программистов принципе предполагает, что каждые 10-15 минут вносятся правки, которые приводят код в состояние, которое не соответствует предыдущему. А если говорить предметно, утечка содержит состояние на, если я правильно помню, 21 июля, с большой долей вероятности, 80% того кода, который утек, продолжает работать на тех сервисах «Яндекса», которыми мы пользуемся».

По итогам расследования в IT-гиганте выявили нарушения политики компании. В частности, в «Яндекс.Лавке» была возможность ручной настройки рекомендаций любого товара без пометки, что это реклама, а для отдельных групп пользователей сервисов «Такси» и «Еда» существовала приоритетная поддержка. Также в коде содержались контактные данные некоторых партнеров — к примеру, водителей такси — и были обнаружены слова, оскорбительные для людей разных рас и национальностей.

Проблема в том, что многие IT-компании не проводят тщательных расследований подобных инцидентов, говорит председатель Профессионального союза программистов России Валерий Павлов.

Валерий Павлов председатель Профессионального союза программистов России «Комментарии в коде читать не надо, девушкам особенно. Политика компании есть, только это же не работает. Как можно управлять программистами? Это как управлять океаном, вы стоите на берегу океана и говорите: «Волны, идите налево, волны, идите направо». Если вы зоркий человек и знаете, куда они сейчас пойдут, то вы можете вот так стоять командовать, но они все равно пойдут куда хотят. Есть два расследования в любом деле. Есть то, что публикуется, и есть внутреннее расследование. Это не только «Яндекса» касается, это вообще политика, в IT-компаниях особенно. К реалиям это, как правило, вообще никакого отношения не имеет. У нас тут тонны кодов сейчас болтаются, которые какие-то люди украли с корпоративных сайтов разработчиков. У нас заимствуют код день и ночь, причем очень критично, и эти критичные утечки становятся иногда известны через несколько лет. Печально то, что такие инциденты с крупными компаниями не расследуются правильным образом. Без внешних расследователей инцидентов правды никогда не узнают ни руководство, ни общественность. Хотите узнать истину — пригласите со стороны людей, только внешнее расследование».

Кроме того, были зафиксированы случаи, когда ошибки сервисов исправлялись при помощи так называемых костылей, то есть временных решений. В «Яндексе» заявили, что политика нулевой терпимости к ошибкам в компании сохранится, но подход к ее реализации будет пересмотрен.

В таких массовых продуктах без багов обойтись практически невозможно, считает исполнительный и технический директор CSoft Development Игорь Орельяна Урсуа.

— Раскрылся старый исходный код, кто-то, видимо, скопировал его и разместил в открытом доступе. А все, что касается данных пользователей, и прочее хранилось отдельно, это все остается в защищенном виде. Единственный риск — злоумышленники, которые анализируют код, будут находить уязвимости в решениях «Яндекса» быстрее, чем специалисты «Яндекса». Бывали и другие случаи, крупные зарубежные компании тоже сталкивались с раскрытием кода. Это неприятность, но не великая проблема.

— Откуда в коде могли взяться оскорбления по национальному и расовому признаку?

— Программное обеспечение пишут люди, обычные люди, и что у них в голове на момент написания продуктов, мы не знаем. Команда большая, это огромная команда с совершенно разными людьми. Предположим, что один, исправляя код другого человека, поправляя его ошибки, ругнулся, зная о том, что этот код написал, например, человек другой национальности. С этим нужно бороться, это плохое поведение людей, но это вполне естественное поведение. Поэтому я тут не вижу никаких умыслов со стороны компании, надо просто каким-то образом наладить более терпимую обстановку среди разработчиков.

В компании «Яндекс» от дополнительных комментариев отказались.