«Нам очень стыдно»: «Яндекс» обнаружил нарушение «собственных политик» при расследовании утечки фрагментов кода

И рассказал, что будет делать дальше.

  • Компания раскрыла первые результаты расследования, которое запустила, когда в интернете появились исходные коды её сервисов. Она повторила, что они «устарели» и не угрожают безопасности клиентов, а также отметила: там есть тестовые алгоритмы, которые использовались только внутри «Яндекса».
  • При этом в ходе более «масштабного аудита всего содержимого» она зафиксировала случаи «серьёзного нарушения» собственных политик — это «Принципы "Яндекса"» и «Правила корпоративной этики».

[Одно из наших правил] гласит: «Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно».

Сейчас нам очень стыдно.

из обращения «Яндекса»
  • По словам компании, в коде содержалась контактная информация некоторых её партнёров — например, телефоны водителей и номера их удостоверений. В некоторых его частях были слова, которые могли оскорбить «людей разных рас и национальностей».
  • Код «Яндекс Лавки» позволял вручную настраивать рекомендации любых товаров — без пометки о том, что это реклама. А фрагменты из сервисов «Еда» и «Такси» показали, что некоторые группы пользователей получали «приоритетную поддержку».
  • Вдобавок к этому «Яндекс» выявил случаи, когда логику работы сервисов — например, в системе рекомендаций и поиске по изображениям и видео, — правили «не алгоритмическим способом, а "костылями"». Компания не уточнила, как это противоречит её принципам (возможно, предложенные «впопыхах» решения могли повысить уязвимость инфраструктуры — vc.ru).
  • В будущем компания сохранит политику нулевой терпимости к багам, которая позволяла разработчикам быстро внедрять изменения, но пересмотрит способы её реализации. Она также скроет из репозитория данные, которые «не имеют отношения к алгоритмам и настройкам сервисов», — чтобы они получили дополнительную защиту.
  • Помимо этого, она вернётся к обсуждению вопросов техноэтики — это то, насколько её решения соответствуют «общечеловеческой морали» и корпоративным принципам. Новые правила опубликуют на сайте, а для проверки кода на соответствие им организуют отдельную службу.
Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Di%26amp%3Burl%3Dhttps%253A%252F%252Fwww.bleepingcomputer.com%252Fnews%252Fsecurity%252Fyandex-denies-hack-blames-source-code-leak-on-former-employee%252F%26amp%3Bpsig%3DAOvVaw2E27C4l5MX2G7xwiw_EH7W%26amp%3Bust%3D1675184601773000%26amp%3Bsource%3Dimages%26amp%3Bcd%3Dvfe%26amp%3Bved%3D0CBIQjhxqFwoTCLi1rYnj7_wCFQAAAAAdAAAAABAE&postId=595245" rel="nofollow noreferrer noopener" target="_blank">Bleeping Computer</a>
Источник: Bleeping Computer
  • В марте 2022 года «Яндекс Еда» сообщила об утечке телефонов и данных о заказах клиентов, которая произошла по вине сотрудника. Позже в сети опубликовали карту с этой информацией. Сайт заблокировали, а «Яндекс Еда» добавила функцию удаления данных о заказах.
  • 26 января 2023 года пользователи форума Hacker News сообщили о публикации папок с исходным кодом сервисов компании: общее количество архивов — 83, объём в сжатом виде — более 44,7 Гб. К публикации кода оказался причастен один из сотрудников «Яндекса», рассказал vc.ru близкий к компании источник.
8484
298 комментариев

Комментарий недоступен

5

Кусок кода, который поднимает стоимость такси при наличии плюса, уже нашли?

97

Судя по извинениям Яндекса код выглядит примерно так

If loh.plus=1 or loh.device = iphone or loh.moneybalance > avg(loh.moneybalances) then final_price=calculated_price + random else final_price=calculated_price + random/2

175

«Нам очень стыдно»: «Комитет» обнаружил нарушение «собственных политик» при расследовании исчезновения публичных дизлайков

160

им за такое максимально стыдно, но возвращать они не будут

6

Есть совесть, есть и стыд, а стыда нет, и совести нет.

1