«Нам очень стыдно»: «Яндекс» обнаружил нарушение «собственных политик» при расследовании утечки фрагментов кода

И рассказал, что будет делать дальше.

Компания раскрыла первые результаты расследования, которое запустила, когда в интернете появились исходные коды её сервисов. Она повторила, что они «устарели» и не угрожают безопасности клиентов, а также отметила: там есть тестовые алгоритмы, которые использовались только внутри «Яндекса».
При этом в ходе более «масштабного аудита всего содержимого» она зафиксировала случаи «серьёзного нарушения» собственных политик — это «Принципы "Яндекса"» и «Правила корпоративной этики».

[Одно из наших правил] гласит: «Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно».
Сейчас нам очень стыдно.
из обращения «Яндекса»

По словам компании, в коде содержалась контактная информация некоторых её партнёров — например, телефоны водителей и номера их удостоверений. В некоторых его частях были слова, которые могли оскорбить «людей разных рас и национальностей».
Код «Яндекс Лавки» позволял вручную настраивать рекомендации любых товаров — без пометки о том, что это реклама. А фрагменты из сервисов «Еда» и «Такси» показали, что некоторые группы пользователей получали «приоритетную поддержку».
Вдобавок к этому «Яндекс» выявил случаи, когда логику работы сервисов — например, в системе рекомендаций и поиске по изображениям и видео, — правили «не алгоритмическим способом, а "костылями"». Компания не уточнила, как это противоречит её принципам (возможно, предложенные «впопыхах» решения могли повысить уязвимость инфраструктуры — vc.ru).
В будущем компания сохранит политику нулевой терпимости к багам, которая позволяла разработчикам быстро внедрять изменения, но пересмотрит способы её реализации. Она также скроет из репозитория данные, которые «не имеют отношения к алгоритмам и настройкам сервисов», — чтобы они получили дополнительную защиту.
Помимо этого, она вернётся к обсуждению вопросов техноэтики — это то, насколько её решения соответствуют «общечеловеческой морали» и корпоративным принципам. Новые правила опубликуют на сайте, а для проверки кода на соответствие им организуют отдельную службу.

Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Di%26amp%3Burl%3Dhttps%253A%252F%252Fwww.bleepingcomputer.com%252Fnews%252Fsecurity%252Fyandex-denies-hack-blames-source-code-leak-on-former-employee%252F%26amp%3Bpsig%3DAOvVaw2E27C4l5MX2G7xwiw_EH7W%26amp%3Bust%3D1675184601773000%26amp%3Bsource%3Dimages%26amp%3Bcd%3Dvfe%26amp%3Bved%3D0CBIQjhxqFwoTCLi1rYnj7_wCFQAAAAAdAAAAABAE&postId=595245" rel="nofollow noreferrer noopener" target="_blank">Bleeping Computer</a>

В марте 2022 года «Яндекс Еда» сообщила об утечке телефонов и данных о заказах клиентов, которая произошла по вине сотрудника. Позже в сети опубликовали карту с этой информацией. Сайт заблокировали, а «Яндекс Еда» добавила функцию удаления данных о заказах.
26 января 2023 года пользователи форума Hacker News сообщили о публикации папок с исходным кодом сервисов компании: общее количество архивов — 83, объём в сжатом виде — более 44,7 Гб. К публикации кода оказался причастен один из сотрудников «Яндекса», рассказал vc.ru близкий к компании источник.

#новость #яндекс