Код в мешке: что мы узнали из утечки данных «Яндекса» и к чему она приведет

В четверг, 26 января, стало известно, что в интернете появились исходные коды и сопутствующие им данные множества сервисов и программ «Яндекса». Общий размер данных составляет около 45 ГБ в сжатом виде, речь об исходниках очень многих продуктов компании — от «Почты» и «Такси» до «Диска» и Алисы. Насколько это серьезный удар для компании и чем это грозит пользователям — разбирался Forbes

Событие

На то, что случилась утечка, одним из первых обратил внимание пользователь Twitter Dmitry Balakov. Как рассказал Forbes технический директор Hack The Publisher Арсений Шестаков, листая ленту Twitter, он наткнулся на его сообщение и проверил информацию об утечке на сайте BreachForums. «Стало интересно, являются ли эти данные настоящими. Спросил об этом у знакомого, до 2022 года работавшего в «Яндексе», и он, проверив архивы, подтвердил мне эту информацию. Новостей об утечке в тот момент не было», — говорит он. По словам Шестакова, он решил подготовить полноценный блогпост для англоязычной аудитории, но немного опоздал, так как к этому времени другой пользователь уже разместил на Hacker News пост об утечке.

Что утекло

В открытом доступе оказались часть приватных репозиториев компании и исходный код массы значимых сервисов «Яндекса». Среди них — Search Engine and Indexing Bot, «Карты», «Такси», «Директ», «Почта», «Диск», «Маркет», «Путешествия», «Яндекс360», Yandex Cloud, платежный сервис Yandex Pay, поиск, а также списки фраз, которыми пользователи выключают голосового помощника «Алиса», перечисляет руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников.

«Объем оказавшегося в открытом доступе кода огромный — 44 ГБ, поэтому наверняка мы будем постепенно встречать новые разборы тех или иных модулей. Энтузиасты постепенно будут разбирать и анализировать код конкретных продуктов Яндекса», — рассуждает технический директор IT-компании HFLabs Никита Назаров. «В «Яндексе» изначально заявили о «фрагментах кода», что далеко от правды. Можно точно сказать, что опубликована значительная часть серверного кода сервисов компании», — продолжает Шестаков.

Материал по теме

В архиве содержится только состояние кода на неизвестную дату, всем файлам принудительно выставлена дата последней модификации — 24.02.2022, но по косвенным признакам можно сказать, что самые поздние изменения внесены в конце июля 2022 года, говорит Никита Назаров: «В архиве нет истории изменений, нет обученных моделей, нет справочников, нет баз данных пользователей и их паролей. Собрать этот код и запустить собственное «Яндекс.Такси» не выйдет — хотя бы потому, что не хватает разных внутренних библиотек, которые в слив не попали».

По словам экс-директора по распространению технологий «Яндекса» Григория Бакунова, данные довольно бесполезны, но подходят для изучения кода. «Во-первых, попробуйте хоть что-то оттуда собрать, это очень неочевидно и часто требует внутренней инфраструктуры «Яндекса», — пишет он в своем Telegram-канале. — Во-вторых, для ИИ-проектов нет самого главного — натренированных весов, то есть модель, которая у вас получится после сборки, просто не обучена. Датасета для обучения тоже нет. Это, безусловно, не взлом, а слив кого-то из сотрудников».

Что говорят в «Яндексе»

В пресс-службе «Яндекса» Forbes подтвердили факт утечки кода, подчеркнув, что «никакого взлома не было». «Служба безопасности «Яндекса» обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах «Яндекса», — отметили в компании.

Там также указали, что репозитории «не предназначены для хранения персональных данных пользователей». «Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы», — заверили в пресс-службе.

Источник Forbes, близкий к «Яндексу», подтвердил, что в сливе исходного кода не участвовало «никаких хакеров». «Речь об одном из сотрудников», — пояснил он.

Материал по теме

Несмотря на заверения «Яндекса» и предположения, что утечку организовал один из сотрудников, есть и другие мнения. По словам руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, первоисточник утечки был размещен на тематическом форуме пользователем под ником borderline. Он написал, что взлом произошел еще в июле 2022 года и впервые опубликован «сегодня». Этого пользователя Игорь Бедеров связывает с хакерской группировкой, совершившей, по его словам, 80% всех взломов с утечками личных данных пользователей в России.

Чем утечка грозит компании и ее пользователям

Непосредственной угрозы пользовательским данным утечка исходного кода действительно не несет, согласен Арсений Шестаков. «При этом доступ к исходникам упростит атаки на инфраструктуру компании в будущем. Также стоит ожидать большего количества фишинговых атак, когда преступники выдают свои сайты за сайты «Яндекса», — полагает он.

Скомпрометированы оказались патенты, разработки, ноу-хау «Яндекса», считает Игорь Бедеров. Кроме того, можно изучить, как де-факто устроен сервис, например, выяснить, как «Яндекс» следит за пользователями умного помощника Алисы и есть ли тут расхождение с пользовательским соглашением компании — утечка содержит текстовый вариант голосовых запросов и пассивного сбора информации, говорит он.

Подобного рода утечки могут привести к эксплуатации неизвестных уязвимостей, размышляет источник Forbes в крупной ИБ-компании. Например, злоумышленники, по его мнению, получив этот код, могут найти слабые места, не сообщить о них в пострадавшую от утечки компанию, а начать писать эксплойт (программный код или набор инструкций, который позволяет использовать уязвимость для проведения атаки) и, например, получить доступ к информации пользователей. Или же попасть внутрь компании, провести шифрование данных, слить данные в паблик, распространить вредоносное ПО. «В коде, скорее всего, есть логины и пароли, которые «Яндекс», если это правда, сейчас пытается экстренно закрыть, но если злоумышленники смогут их найти, то смогут их также слить, украсть, зашифровать и закрепиться в системе», — заключает он.

Материал по теме

Также, по информации источников Forbes на рынке кибербезопасности, утекли некоторые инструменты безопасности — плагины для пентестеровских утилит, которые «Яндекс» писал сам. Используя эти плагины, злоумышленники смогут провести атаки. «Если резюмировать, в явном виде новых угроз пользователям эта утечка не несет, но она, безусловно, открывает новые возможности для злоумышленников, — уверен собеседник Forbes в крупной ИБ-компании. — Теперь искать уязвимости в сервисах «Яндекса» станет проще, поэтому теперь их взлом — лишь вопрос времени».

Утечка внутренних репозиториев
угрожает потерей важных алгоритмов работы сервисов «Яндекса», говорит
Константин Мельников. Эти алгоритмы, по его мнению, могут быть использованы для
модификации имеющихся приложений или создания иных алгоритмов, позволяющих
обходить блокировки сервиса, а также для построения приложений или сервисов на
основе исходников «Яндекса». «Есть пока ничем не подтвержденное предположение,
что, если изучить все данные, можно понять, как работают вышеперечисленные
сервисы и, например, почему повышается цена на такси, а на «Маркете» — на товар».

Впрочем, пока это только возможность понять внутреннее устройство, и вряд ли злоумышленники смогут воспользоваться этим без доступа внутрь, разве что для попыток взлома и применения социальной инженерии, рассуждает собеседник на рынке ИБ. На данный момент, по его словам, риски в основном носят репутационный характер: «Подобные инциденты случаются нередко, просто не обо всех из них становится известно в публичном поле. Остается вопрос, насколько успешно компания закрыла доступы к внутренним серверам, ключам и т.д.».