«Яндекс» раскрыл первые результаты расследования публикации исходного кода и нашёл много нарушений ИБ-политик в компании / Хабр

30 января 2023 года «Яндекс» раскрыл первые результаты расследования инцидента с публикацией в открытом доступе исходного кода сервисов и сообщил, что нашёл много нарушений сотрудниками в исполнении политик по ИБ компании, включая использование временных решений (костылей), наличие алгоритма, который может включать микрофон устройства с «Алисой» в любой случайный момент (для внутренних тестов), публикацию нецензурных слов в исходном коде тестовой части сервисов и многих других ошибок.

На прошлой неделе в открытом доступе были обнаружены фрагменты программного кода некоторых сервисов «Яндекса». Мы продолжаем внутреннее расследование инцидента и считаем важным поделиться первыми результатами.

Что мы обнаружили

Опубликованные фрагменты действительно взяты из нашего внутреннего репозитория — инструмента, с помощью которого разработчики компании работают с кодом. При этом содержимое архива соответствует устаревшей версии репозитория — она отличается от актуальной версии, которая используется нашими сервисами.

Первичный анализ показал, что опубликованные фрагменты не несут какой-либо угрозы для безопасности наших пользователей или работоспособности сервисов. В то же время мы решили, что сложившаяся ситуация — повод провести масштабный аудит всего содержимого репозитория.

К сожалению, в ходе аудита мы выявили в коде несколько случаев серьёзного нарушения наших собственных политик, в том числе Принципов Яндекса и Правил корпоративной этики.

Вот несколько примеров нарушений ИБ в коде:

● В коде содержались контактные данные некоторых партнёров. Например, водителей — в некоторых случаях их контакты и номера водительских удостоверений передавались из одного таксопарка в другой.

● Зафиксированы случаи, когда логику работы сервисов корректировали не алгоритмическим способом, а «костылями» (на языке разработчиков так называется временное решение, реализованное неоптимально и впопыхах). Через такие «костыли» исправляли отдельные ошибки системы рекомендаций, которая отвечает за дополнительные элементы поисковой выдачи, и регулировали настройки поиска по картинкам и видео.

● В сервисе «Яндекс Лавка» существовала возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере.

● Наличие приоритетной поддержки для отдельных групп пользователей в сервисах «Такси» и «Еды».

● Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но сами по себе оскорбительны для людей разных рас и национальностей.

Важно отметить, что опубликованные фрагменты кода содержат в том числе и тестовые алгоритмы, которые использовались только внутри «Яндекса» для проверки корректности работы сервисов. Например, для улучшения качества активации ассистента и уменьшения количества ложных срабатываний в бета-версии для сотрудников применяется настройка, которая включает микрофон устройства на несколько секунд в случайный момент без упоминания «Алисы».

Один из принципов «Яндекса» гласит: наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно.

Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнёрам. Считаем необходимым рассказать, почему такое происходило, и что в связи с этим мы намерены предпринимать.

Почему это произошло, и какие меры мы предпримем

Большинство выявленных проблем связано с попытками вручную внести в сервис улучшение или устранить ошибку. Ошибки — часть жизни. Их не избежать, если у тебя не статичный, а постоянно развивающийся продукт. В компании долгое время существует подход Zero Bug Policy — политика нулевой терпимости к «багам». Реализация подхода на практике приводила к тому, что часть «багов» исправлялась с помощью временных решений, устраняющих конкретную проблему или неправильный результат работы алгоритма. «Яндекс» сохранит Zero Bug Policy, но способы её реализации будут пересмотрены.

В ходе анализа и обсуждения оказавшегося в открытом доступе кода мы вновь столкнулись с вопросами техноэтики. Насколько используемое решение соответствует общечеловеческой морали и нашим собственным принципам? Насколько решение понятно для наших пользователей и партнёров? Стало очевидно, что руководство компании уделяло мало внимания этим вопросам.

С вопросами техноэтики мы сталкивались и раньше. Например, в 2020 году в «Яндексе» решили, что поиск не должен помогать находить людей по фото, так как это нарушает их персональную безопасность. Или, например, был закрыт проект по оценке потенциальных заёмщиков банков. На основе этих решений были сформулированы принципы и системный подход. Но другие проблемы не получили должного внимания.

Сегодня «Яндекс» возобновляет работу по формированию стандартов и принципов техноэтики. Они будут опубликованы на сайте компании и станут частью наших общих политик. Все фрагменты кода, которые противоречат им, будут исправлены.

При этом мы считаем важным сохранить внутри «Яндекса» открытую среду разработки, в частности – единый репозиторий. Она остаётся важнейшей частью нашей внутренней культуры.

В ближайшее время мы создадим новую службу, которая будет отвечать за соответствие кода нашим принципам и политикам. Кроме того, мы уже переносим из репозитория все данные, которые не имеют отношения к алгоритмам и настройкам сервисов. Эти данные получат дополнительную защиту.

Ещё раз приносим свои извинения всем, кого могла затронуть эта ситуация.

Хроника развития инцидента с публикацией исходного кода из внутренних Git-репозиториев «Яндекса»

26 января 2023 в сети появились исходные коды и сопутствующие им данные множества сервисов и программ компании «Яндекс». Раздача содержит отдельные архивы (.tar.bz2), по названиям которых можно идентифицировать соответствующие сервисы «Яндекса». Общий объём архивов (в сжатом виде) составляет более 44,7 ГБ.

Разработчик Арсений Шестаков пояснил, что в архиве есть только содержимое репозиториев git, персональные данные отсутствуют. Там несколько ключей API, но они, скорее всего, использовались только для тестового развёртывания. Некоторые из архивов содержат исходный код для части сервисов компании, а также документацию, указывающую на реальные URL-адреса интрасети.

«Яндекс» подтвердил Хабру публикацию старых исходных кодов части проектов из внутреннего репозитория. Хакеры выложили архив в открытый доступ и утверждают, что в июле 2022 года скачали исходные коды проектов компании, кроме правил антиспама.

«Никакого взлома Яндекса не было. Служба безопасности Яндекса обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах Яндекса.

Репозиторий – это один из инструментов для разработки внутри большинства компаний, который доступен их разработчикам. Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей. Мы проводим внутреннее расследование.»,

— сообщили Хабру в пресс-службе компании.

В «Яндексе» не увидели какой-либо угрозы для данных пользователей или работоспособности платформы после утечки исходного кода из внутреннего репозитория компании. Источник из «Яндекса» пояснил Хабру, что фрагменты исходного кода попали в открытый доступ по вине одного из сотрудников компании.

Эксперты в первом приближении оценили публикацию исходного кода из внутренних Git-репозиториев «Яндекса».

Архив размером 44.71 ГБ включает срезы Git-репозиториев «Яндекса» с исходным кодом 79 сервисов и проектов компании, среди которых поисковый движок (фронтенд и бэкенд), бот индексации страниц, платформа web-аналитики Yandex Metrika, картографическая система Yandex Maps, голосовой помощник «Алиса», информационная система службы поддержки, Yandex Phone, рекламная платформа Yandex Direct, почтовый сервис Yandex Mail, хранилище Yandex Disk, сеть доставки контента, торговая площадка Yandex Market, бизнес-сервисы Yandex360, облачная платформа Yandex Cloud, платёжная система Yandex Pay, «Яндекс Поиск», «Яндекс Метрика», «Яндекс Такси», «Яндекс Путешествия», «Яндекс 360» и внутренняя система диагностики Solomon.

Комментарий от бывшего сотрудника компании:

Вроде же сто раз уже все обсуждали, что в Я весь код лежит в монорепе (так называемая Аркадия), которая является чем-то средним между SVN и git (ближе к первому, с фишками второго). Вытащить весь код — вопрос одной команды. Read-only режим доступен всем разработчикам.

Политика эта полностью правильная, потому что позволяет быстрее, эффективнее и гибче разрабатывать код, а при воровстве кода все равно непонятно, что с ним делать. Датасеты, данные и прочие вещи с кодом рядом не лежат, а посмотреть как SharedPtr в либке STL от Яндекса сделан — спорная ценность. Как уже давно бывший сотрудник Яндекса могу сказать, что самое ценное в компании — это люди и их очень крутая экспертиза. Наиболее крутые и готовые к миру продукты Яндекс и без того в open source выкладывает (ClickHouse, userver и т.д.), а разбираться (да еще и без инфраструктуры, под которую этот код заточен) в том, как джейсоны из сервиса в сервис перекладываются — это такое себе.

Так что не думаю, что это какой-то существенный урон нанесет (мало того, думаю, кому очень все это надо было, уже давно получили).

Ашот Оганесян (сервис поиска утечек и мониторинга даркнета DLBI):

Это, скорее всего, инсайд, сотрудник уехавший, слил летом, он особо и не скрывает этого. Как отразится на компании — не знаю. Там есть пароли от серверов баз данных. „Яндекс“ должен был их давно поменять. Если нет, то будут продолжения утечек данных. Ну слили исходники, ну бывает. У MS сливали, у многих игровиков сливали, безопасников, конечно, надо было разогнать после инцидента с утечкой данных пользователей «Яндекс Еды» и курьеров, они просто не знали, что и где у них есть (забыли старые сервера).

Лука Сафонов («Киберполигон», Bug Bounty Ru):

Исходники таких проектов, как „Такси“ и так далее несомненно будут исследованы злоумышленниками для поиска потенциальных возможностей обойти защиту сервиса. Но есть одно но, репозитории с кодом и логика/данные лежали в разных местах. Также исходники будут интересны багхантерам для поиска дыр, разработчикам для поиска новых решений/реализаций. Данные пользователей не пострадали, доступа к инфраструктуре „Яндекса“ нет, но есть значительный урон в подаче материала СМИ — »Яндекс» взломали/из «Яндекса» выложили полупубличный код. Это был инсайд. Если бы сломали, что взлом был бы на боевом репозитории. «Яндексу» лучше написать пресс-релиз с анализом ситуации и разбором утекшего кода, переписать функции безопасности, отражённые в репозиториях, если раскрытие архитектуры даже потенциально может влиять на безопасность сервисов.

Профильный эксперт одной из компаний в области кибербезопасности рассказал СМИ, что это событие может нести как репутационный, так и коммерческий урон «Яндексу». По его мнению, после внутреннего расследования компания, вероятнее всего, озадачится пересмотром текущих подходов к обеспечению безопасности и организационной структуры, а также изменит архитектуру и процессы разработки.

Медуза* написала большой материал о психологическом климате в «Яндексе» → Roem.ru

5 мая 2022 в 17:51
«Медуза»

ru-RU
2022
ООО «Роем»
Текучка

Издание «Медуза» (является иноагентом) написало большой материал о психологическом и материальном климате в «Яндексе». С точки зрения дохода у яндексоидов в целом всё хорошо, информация

Развитие событий:
«Яндекс» пытается удержаться в Финляндии, но к нему относятся с подозрением (7 мая 2022)

Издание «Медуза» (является иноагентом) написало большой материал о психологическом и материальном климате в «Яндексе».

С точки зрения дохода у яндексоидов в целом всё хорошо, информация об этом зашита в середине статьи:

«Из-за невозможности продажи RSU в текущих условиях мы перешли на схему денежных выплат. Расчет производится по зафиксированному курсу доллара (выше текущего) и цене акций в долларах, которая использовалась во время выплаты гранта конкретному сотруднику. Таким образом, мы продолжаем поддерживать совокупный доход сотрудников на конкурентном уровне», — так прокомментировали эту ситуацию «Медузе» представители «Яндекса».

С точки зрения описания отношения к происходящему, в издании изложены точки зрения ушедших, уехавших и уходящих сотрудников, относящихся к происходящим событиям отрицательно и считающим (как минимум некоторые), что «Яндекс» мог бы оппонировать планам властей РФ в отношении медиаполитики в освещении событий на Украине после 24.02. Эту точку зрения считает неверной руководство и бывшее руководство компании: по их мнению, «Яндекс» не смог бы сколько-нибудь долго быть оппонентом властей РФ.

Приводятся причины возникновения желания избавиться от «Яндекс.Новостей» и «Яндекс.Дзена» и данные о том, что переданные в ВК сотрудники получат премию в три оклада если останутся в компаниях.

Приводятся данные о количестве работающих из-за рубежа сотрудниках «Яндекса»: от трёх до пяти тысяч человек из 18 000.

Кроме этого, отражена точка зрения не понимающих что происходит сотрудников, считающих, что компания «Яндекс» — это как нейтральная Швейцария, почему их трогают вообще?

Приводятся данные о том, что Григорий Бакунов (bobuk) уволился из «Яндекса» ещё в 2018-м году: с течением времени Григорий всё раньше и раньше покидает «Яндекс» — хотя даже в 2019-м он выступал в Совете Федерации РФ как менеджер «Яндекса». Не исключено, что в будущем мы узнаем о том, что Григорий покинул «Яндекс» ещё до его создания.

Ещё раз описывается план того, что часть сервисов компании будет выведена на международный рынок (и будет ограничиваться им). Компания будет построена выходцами из «Яндекса», будет делать облачные сервисы и автономное вождение автомобилей. Пресс-служба «Яндекса» прокомментировала этот пассаж ответом на другое, о том, что у компании есть иностранные юрлица.

Описывается желание руководства компании пройти без потерь между давлением российских властей, при этом без получения санкций на саму компанию от ЕС и от США.

Материал рекомендуется для ознакомления HR-специалистам и управленцам работающим в эмоционально взбудораженных происходящими событиями коллективах.

Мы замучились бороться Как российское вторжение в Украину раскололо «Яндекс». Расследование Светланы Рейтер — Meduza

Ссылку подсказал пользователь. Добавляйте свои ссылки.

28 комментариев

Поделиться 

• Яндекс отдаст «Дзен» и Я.Новости в ВК

  10

• «Яндекс» то ли делится, то ли не делится на русский и не русский

  17

• Из «Яндекса» уволили Илью Красильщика после возбуждения в его отношении уголовного дела

  3

• 3.03.2022
  Причины и последствия украинского кризиса — лекция профессора политологии чикагского университета Джона Миршаймера

  24

• 3.03.2022
  Фейковое цунами. Как распознавать фейки про спецоперацию на Украине

  61

• 30. 01.2022
  Доклад Ашманова: как заставить платформы отказаться от плохого контента

  189

• 24.01.2022
  Пять главных ошибок в разговоре о средствах массовой информации. Для начинающих

  25

• 21.01.2022
  О сложности создания Матрицы в Брянской области

  17

• 19.05
  Apple запретила сотрудникам использовать ChatGPT и другие подобные инструменты
• 19.05
  Минфин решил не брать 30% НДФЛ с фрилансеров-нерезидентов
• 22.05
  Владимир Потанин и Вагит Алекперов обсудят покупку «Яндекса»
• 22.05
  Связь в России проектируется «для нужд госуправления, обороны, безопасности и правопорядка»
• 22.05
  В Грозном проводятся первые российские международные соревнования по спортивному программированию

Яндекс — Что это? Определение

Что такое Яндекс? — Определение

Яндекс — российская поисковая система в Интернете, созданная в 1997 году, найти ее можно: https://yandex. ru. Его международную версию вы можете найти здесь: https://yandex.com. В России он популярнее Google — там у него около 50% рынка.

Интересные факты о поисковике ЯНДЕКС

Интересно, что Яндекс.ру занимает четвертое место в категории самых популярных сайтов в России и пятое в рейтинге поисковых систем мира. Яндекс , помимо России, также нацелен на украинский, турецкий, казахский и белорусский рынки. Он предоставляет пользователям множество дополнительных услуг, таких как: электронная почта, карты, переводчик и собственный веб-браузер.

Было ли это определение полезным?

Author

Delante — агентство интернет-маркетинга, специализирующееся на привлечении трафика на веб-сайты из поисковых систем и платной рекламы (SEO / SEM). Более 80% наших клиентов представляют быстрорастущую индустрию электронной коммерции.

НЕДАВНО В НАШЕМ БЛОГЕ

Преодолеть негативную тенденцию и повысить видимость в 3 раза — раскрытие примера переноса веб-сайта

22 мая 2023 г.
|

Миграция веб-сайта может быть палкой о двух концах. Несмотря на то, что он имеет потенциал для развития вашего бизнеса, он также несет в себе много рисков. Снижение рейтинга, потенциальная потеря данных и ограниченная функциональность, и это лишь некоторые из них. Без экспертного руководства SEO навигация по этой территории может привести к катастрофе. Чтобы помочь вам избежать опасностей, я подготовил пример переноса веб-сайта о том, как преодолеть внезапное падение видимости в результате переноса веб-сайта на другую CMS.

Подробнее

Внутреннее или SEO-агентство — что лучше в 2023 году? [ВИДЕО]

17 мая 2023 г.
|

• SEO сотрудничество

В 2023 году выбор между наймом штатного специалиста по SEO или партнерством с SEO-агентством стал важным решением для компаний, стремящихся расширить свое присутствие в Интернете. Мы изучили плюсы и минусы каждого варианта, учитывая такие факторы, как стоимость, специализация и опыт работы с клиентами, чтобы упростить ваше решение.

Подробнее

Лучшие локальные SEO-инструменты для продвижения вашего бизнеса в Интернете

15 мая 2023 г.
|

• Местное SEO

Владельцу местного бизнеса крайне важно, чтобы ваш магазин, ресторан или тренажерный зал отображались в результатах поиска, когда ваши потенциальные клиенты выполняют локальный поиск. Использование отчетов, созданных лучшими местными инструментами SEO, поможет вам ориентироваться на трафик веб-сайта и привлечь больше клиентов в магазине. С помощью этой информации вы можете улучшить свою видимость для людей, которые ищут компании, подобные вашей, в вашем регионе.

Подробнее

Посмотреть все статьи

Что дальше?

Вас интересуют наши услуги? Напишите нам, и мы договоримся о встрече или телефонном звонке.

Оставьте сообщение

Отправьте нам адрес вашего сайта и ваш контактный номер – мы свяжемся с вами в течение 48 часов.

Пишите нам

Поговорим!

Затем мы позвоним вам или встретимся, чтобы обсудить ваши бизнес-цели и приоритеты. Мы также подробно поговорим о вашем сайте.

Получите предложение по действиям

На основе анализа потребностей и вашего веб-сайта мы подготовим предложения для конкретных действий с учетом ваших целей, а также коммерческое предложение.

Будьте готовы к изменениям

Если вам понравилась стратегия, которую мы подготовили для вашего сайта, и вы хотите начать сотрудничество – готовьтесь к изменениям! Мы начинаем путь к более высоким рангам и увеличению конверсии вашего сайта!

Получить бесплатное предложение

Все, что вам нужно сделать, это отправить нам адрес вашего веб-сайта, и в течение 48 часов мы свяжемся с вами, чтобы обсудить рекомендуемые действия и расценки на услуги SEO для вас.

ImTranslator для Яндекс.Браузера | ImTranslator

Пользователям Яндекс браузера мы рекомендуем использовать расширение ImTranslator для Opera, которое полностью совместимо с Яндекс браузером.

Расширение ImTranslator представляет собой веб-переводчик с большим набором языковых инструментов для мгновенного перевода выбранного текста, слов, фраз и веб-страниц. ImTranslator переводит на 91 язык, используя 3 провайдера перевода (Google, Microsoft Bing и Translator)

TRANSLATION APPLICATIONS:

• ImTranslator (перевод в окне): Ctrl+Alt+Z
• Pop-up Bubble (всплывающее окно перевода): Ctrl+Alt
• Встроенный переводчик (перевод, встроенный в веб-страницу): Ctrl+Alt +C
• Перевод веб-страниц (перевод веб-страниц)
• Словарь (перевод слов)

ImTranslator ВОЗМОЖНОСТИ:

• перевод между 91 языком
• 10 тысяч знаков на перевод
• 3 провайдера перевода (Google, Microsoft Bing, Translator)
• ImTranslator Dictionary
• мгновенный перевод выбранного текста
• перевод всей веб-страницы с возможностью перевода при наведении курсора мыши
• преобразование текста в голос на 10 языках
• перевод история
• автоматическое определение языка
• обратный перевод
• настройка горячих клавиш
• полная настройка каждого инструмента перевода
• возможность отключения автоматического определения языка
• локализация пользовательского интерфейса

• Установка уникальных языковых настроек для каждого приложения перевода.
• Установите одинаковые языковые настройки для всех приложений перевода.
• Включить автоматическое определение языка.
• Включить другие переводчики.
• Включить словарь для перевода отдельных слов.
• Включить обратный перевод для приложения ImTranslator.
• Выберите горячие клавиши для работы с приложениями-переводчиками.
• Изменить поведение всплывающего окна.
• Выполнить перевод, выделив текст мышью.
• Выберите размер шрифта.
• Изменить внешний вид встроенного перевода.
• Включите историю переводов, чтобы хранить записи переводов для каждого инструмента перевода.
• Доступ к записям истории переводов для поиска, сортировки, разделения по предложениям, экспорта в Excel и сохранения.

ПОДДЕРЖИВАЕМЫЕ ЯЗЫКИ:
африкаанс, албанский, арабский, армянский, азербайджанский, баскский, белорусский, бенгальский, боснийский, болгарский, каталанский, кебуано, чичева, китайский (упрощенный), китайский (традиционный), хорватский, чешский, датский , голландский, английский, эстонский, эсперанто, филиппинский, финский, французский, галисийский, грузинский, немецкий, греческий, гуджарати, гаитянский креольский, хауса, иврит, хинди, хмонг, венгерский, исландский, игбо, индонезийский, ирландский, итальянский, японский, Яванский, каннада, казахский, кхмерский, корейский, латинский, латышский, литовский, македонский, малагасийский, малайский, малаялам, мальтийский, маори, маратхи, монгольский, мьянманский (бирманский), непальский, норвежский, персидский, польский, португальский, пенджаби, румынский , русский, сербский, сесото, сингальский, словацкий, словенский, сомалийский, испанский, суданский, суахили, шведский, таджикский, тамильский, телугу, тайский, турецкий, украинский, урду, узбекский, вьетнамский, валлийский, идиш, йоруба и зулу.

This entry was posted in Директ