16+
Вторник, 19 марта 2024
  • BRENT $ 86.75 / ₽ 7979
  • RTS1127.80
31 января 2023, 14:56 Компании

«Яндекс» расследовал утечку исходного кода

Лента новостей

В открытом доступе оказались 45 гигабайт исходного кода популярных сервисов. Исходный код действительно взят из внутреннего хранилища данных. По мнению компании, фрагменты кода не несут угрозы для безопасности пользователей или работоспособности сервисов

Фото: Антон Новодережкин/ТАСС

В компании «Яндекс» опубликовали результаты расследования утечки, которая случилась 25 января. Тогда сообщалось, что в открытом доступе оказались 45 гигабайт исходного кода таких сервисов, как «Почта», «Диск», «Такси» и других.

По итогу расследования компания признала, что исходный код действительно взят из внутреннего хранилища данных — репозитория. При этом сообщается, что опубликована устаревшая версия кода. Также в компании заявили, что фрагменты кода не несут угрозы для безопасности пользователей или работоспособности сервисов.

Некая опасность все же существует, говорит технический директор компании — разработчика IT-продуктов HFLabs Никита Назаров.

Никита Назаров технический директор компании — разработчика IT-продуктов HFLabs «45 гигабайт исходников — это не фрагменты. Это полный код основных сервисов «Яндекса», не 100% кода «Яндекса», но значимая его часть, конкретный процент я не назову, но для реверс-инжиниринга, для понимания того, как устроены сервисы, этого более чем достаточно. Коллеги говорят, что утечка не несет угрозы для безопасности пользователей, работоспособности сервисов, но на самом деле основной риск именно здесь и кроется, потому что придумать большего подарка для людей, которые занимаются взломами, сложно. Одно дело, когда ты стучишься в закрытую дверь, и совсем другое, когда тебе дали все чертежи этой двери, все устройство замков к ней, тебе просто нужно найти правильную точку, куда нажать, куда постучаться, чтобы произвести взлом. Когда коллеги говорят, что код, который утек, не соответствует его актуальному состоянию, это действительно так, но фишка в том, что работа программистов принципе предполагает, что каждые 10-15 минут вносятся правки, которые приводят код в состояние, которое не соответствует предыдущему. А если говорить предметно, утечка содержит состояние на, если я правильно помню, 21 июля, с большой долей вероятности, 80% того кода, который утек, продолжает работать на тех сервисах «Яндекса», которыми мы пользуемся».

По итогам расследования в IT-гиганте выявили нарушения политики компании. В частности, в «Яндекс.Лавке» была возможность ручной настройки рекомендаций любого товара без пометки, что это реклама, а для отдельных групп пользователей сервисов «Такси» и «Еда» существовала приоритетная поддержка. Также в коде содержались контактные данные некоторых партнеров — к примеру, водителей такси — и были обнаружены слова, оскорбительные для людей разных рас и национальностей.

Проблема в том, что многие IT-компании не проводят тщательных расследований подобных инцидентов, говорит председатель Профессионального союза программистов России Валерий Павлов.

Валерий Павлов председатель Профессионального союза программистов России «Комментарии в коде читать не надо, девушкам особенно. Политика компании есть, только это же не работает. Как можно управлять программистами? Это как управлять океаном, вы стоите на берегу океана и говорите: «Волны, идите налево, волны, идите направо». Если вы зоркий человек и знаете, куда они сейчас пойдут, то вы можете вот так стоять командовать, но они все равно пойдут куда хотят. Есть два расследования в любом деле. Есть то, что публикуется, и есть внутреннее расследование. Это не только «Яндекса» касается, это вообще политика, в IT-компаниях особенно. К реалиям это, как правило, вообще никакого отношения не имеет. У нас тут тонны кодов сейчас болтаются, которые какие-то люди украли с корпоративных сайтов разработчиков. У нас заимствуют код день и ночь, причем очень критично, и эти критичные утечки становятся иногда известны через несколько лет. Печально то, что такие инциденты с крупными компаниями не расследуются правильным образом. Без внешних расследователей инцидентов правды никогда не узнают ни руководство, ни общественность. Хотите узнать истину — пригласите со стороны людей, только внешнее расследование».

Кроме того, были зафиксированы случаи, когда ошибки сервисов исправлялись при помощи так называемых костылей, то есть временных решений. В «Яндексе» заявили, что политика нулевой терпимости к ошибкам в компании сохранится, но подход к ее реализации будет пересмотрен.

В таких массовых продуктах без багов обойтись практически невозможно, считает исполнительный и технический директор CSoft Development Игорь Орельяна Урсуа.

— Раскрылся старый исходный код, кто-то, видимо, скопировал его и разместил в открытом доступе. А все, что касается данных пользователей, и прочее хранилось отдельно, это все остается в защищенном виде. Единственный риск — злоумышленники, которые анализируют код, будут находить уязвимости в решениях «Яндекса» быстрее, чем специалисты «Яндекса». Бывали и другие случаи, крупные зарубежные компании тоже сталкивались с раскрытием кода. Это неприятность, но не великая проблема.

— Откуда в коде могли взяться оскорбления по национальному и расовому признаку?

— Программное обеспечение пишут люди, обычные люди, и что у них в голове на момент написания продуктов, мы не знаем. Команда большая, это огромная команда с совершенно разными людьми. Предположим, что один, исправляя код другого человека, поправляя его ошибки, ругнулся, зная о том, что этот код написал, например, человек другой национальности. С этим нужно бороться, это плохое поведение людей, но это вполне естественное поведение. Поэтому я тут не вижу никаких умыслов со стороны компании, надо просто каким-то образом наладить более терпимую обстановку среди разработчиков.

В компании «Яндекс» от дополнительных комментариев отказались.

Рекомендуем:

Фотоистории

Рекомендуем:

Фотоистории
BFM.ru на вашем мобильном
Посмотреть инструкцию