Специалисты по ИБ Лука Сафонов («Киберполигон», Bug Bounty Ru) и Ашот Оганесян (сервис поиска утечек и мониторинга даркнета DLBI) пояснили, чем это грозит компании и что именно произошло.
«Это скорее всего инсайд, сотрудник уехавший, слил летом, он особо и не скрывает этого.
Как отразится на компании — не знаю. Там есть пароли от серверов баз данных. „Яндекс“ должен был их давно поменять. Если нет, то будут продолжения утечек данных. Ну слили исходники, ну бывает. У MS сливали, у многих игровиков сливали, безопасников конечно надо было разогнать после инцидента с „Едой“, они просто не знали, что и где у них есть (забыли старые сервера)», — пояснил ситуацию Ашот Оганесян.
«Исходники таких проектов, как „Такси“ и так далее несомненно будут исследованы злоумышленниками для поиска потенциальных возможностей обойти защиту сервиса. Но есть одно но, репозитории с кодом и логика/данные лежали в разных местах. Также исходники будут интересны багхантерам для поиска дыр, разработчкам для поиска новых решений/реализаций. Данные пользователей не пострадали, доступа к инфраструктуре „Яндекса“ нет, но есть значительный урон в подаче материала СМИ — »Яндекс" взломали/из «Яндекса» выложили полупубличный код. Это был инсайд. если бы сломали, что взлом был бы на боевом репозитории. «Яндексу» лучше написать пресс-релиз с анализом ситуации и разбором утекшего кода, переписать функции безопасности, отражённые в репозиториях, если раскрытие архитектуры даже потенциально может влиять на безопасность сервисов", — рассказал Лука Сафонов.
Хроника развития инцидента с публикацией исходного кода из внутренних Git-репозиториев «Яндекса»
26 января 2023 в сети появились исходные коды и сопутствующие им данные множества сервисов и программ компании «Яндекс». Раздача содержит отдельные архивы (.tar.bz2), по названиям которых можно идентифицировать соответствующие сервисы «Яндекса». Общий объём архивов (в сжатом виде) составляет более 44,7 ГБ.
Разработчик Арсений Шестаков пояснил, что в архиве есть только содержимое репозиториев git, персональные данные отсутствуют. Там несколько ключей API, но они, скорее всего, использовались только для тестового развёртывания. Некоторые из архивов содержат исходный код для части сервисов компании, а также документацию, указывающую на реальные URL-адреса интрасети.
«Яндекс» подтвердил публикацию старых исходных кодов части проектов из внутреннего репозитория. Хакеры выложили архив в открытый доступ и утверждают, что в июле 2022 года скачали исходные коды проектов компании, кроме правил антиспама.
«Никакого взлома Яндекса не было. Служба безопасности Яндекса обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах Яндекса.
Репозиторий – это один из инструментов для разработки внутри большинства компаний, который доступен их разработчикам. Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей. Мы проводим внутреннее расследование.»,
— сообщили в пресс-службе компании.
В «Яндексе» не увидели какой-либо угрозы для данных пользователей или работоспособности платформы после утечки исходного кода из внутреннего репозитория компании. Источник из «Яндекса» пояснил, что фрагменты исходного кода попали в открытый доступ по вине одного из сотрудников компании.
Эксперты в первом приближении оценили публикацию исходного кода из внутренних Git-репозиториев «Яндекса».
Архив размером 44.71 ГБ включает срезы Git-репозиториев «Яндекса» с исходным кодом 79 сервисов и проектов компании, среди которых поисковый движок (фронтенд и бэкенд), бот индексации страниц, платформа web-аналитики Yandex Metrika, картографическая система Yandex Maps, голосовой помощник «Алиса», информационная система службы поддержки, Yandex Phone, рекламная платформа Yandex Direct, почтовый сервис Yandex Mail, хранилище Yandex Disk, сеть доставки контента, торговая площадка Yandex Market, бизнес-сервисы Yandex360, облачная платформа Yandex Cloud, платёжная система Yandex Pay, «Яндекс Поиск», «Яндекс Метрика», «Яндекс Такси», «Яндекс Путешествия», «Яндекс 360» и внутренняя система диагностики Solomon.
Комментарий от бывшего сотрудника компании:
Вроде же сто раз уже все обсуждали, что в Я весь код лежит в монорепе (так называемая Аркадия), которая является чем-то средним между SVN и git (ближе к первому, с фишками второго). Вытащить весь код — вопрос одной команды. Read-only режим доступен всем разработчикам.
Политика эта полностью правильная, потому что позволяет быстрее, эффективнее и гибче разрабатывать код, а при воровстве кода все равно непонятно, что с ним делать. Датасеты, данные и прочие вещи с кодом рядом не лежат, а посмотреть как SharedPtr в либке STL от Яндекса сделан — спорная ценность. Как уже давно бывший сотрудник Яндекса могу сказать, что самое ценное в компании — это люди и их очень крутая экспертиза. Наиболее крутые и готовые к миру продукты Яндекс и без того в open source выкладывает (ClickHouse, userver и т.д.), а разбираться (да еще и без инфраструктуры, под которую этот код заточен) в том, как джейсоны из сервисы в сервис перекладываются — это такое себе.
Так что не думаю, что это какой-то существенный урон нанесет (мало того, думаю, кому очень все это надо было, уже давно получили).
Итоги первого дня после инцидента с публикацией исходных кодов сервисов «Яндекса»
Хабр подвёл итоги первого дня после инцидента с публикацией исходных кодов сервисов «Яндекса». Специалисты по ИБ Лука Сафонов («Киберполигон», Bug Bounty Ru) и Ашот Оганесян (сервис поиска утечек и...
habr.com