«Яндекс» раскрыл первые итоги расследования утечки кода
Опубликованные в интернете части программного кода некоторых сервисов «Яндекса» не угрожают безопасности пользователей или работоспособности проектов, при этом проведенный масштабный аудит выявил несколько случаев нарушения правил корпоративной этики и «принципов «Яндекса».
В частности, в интернете были опубликованы фрагменты тестовых алгоритмов, которые использовались только для проверки работы сервисов внутри самой компании. Один из таких алгоритмов включал микрофон устройства на несколько секунд без упоминания «Алисы». В компании пояснили, что алгоритм был написан для уменьшения количества ложных срабатываний во время тестирования сотрудниками и для улучшения качества активации «Алисы».
В корпорации подчеркнули, что работа «Яндекса» строится на принципе прозрачности: предполагается, что любой документ или код потенциально может быть опубликован, и в таком случае не должно быть причины для стыда.
«Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнерам. Считаем необходимым рассказать, почему такое происходило и что в связи с этим мы намерены предпринимать», — добавили в «Яндексе».
Исходный код также содержал контактные данные некоторых партнеров (например, водителей — их номера могли увидеть в других таксопарках), существовала приоритетная поддержка для отдельных групп пользователей «Яндекс.Еды» и «Яндекс.Такси», а работу некоторых сервисов корректировали с помощью «костылей» (неоптимальные временные решения): ими «регулировали настройки поиска по картинкам и видео». Кроме того, в коде были слова, которые не связаны с работой сервисов, но «сами по себе оскорбительны для людей разных рас и национальностей».
Большинство нарушений связаны с попытками устранить ошибку или улучшить сервис, заверили в компании, пообещав, что пересмотрят подход к принципу нулевой терпимости к «багам» — Zero Bug Policy. Компания отметила, что возобновит формирование принципов техноэтики и перенесет из репозитория все данные, не относящиеся к алгоритмам и настройкам проектов, — их дополнительно защитят.
Архив с 45 Гб исходных кодов и сопутствующих им данных сервисов и программ «Яндекса» появился в интернете 25 января, сообщал ИТ-ресурс «Хабр». Датированы все слитые файлы 24 февраля 2022 года.
Близкий к «Яндексу» источник РБК рассказал, что речь идет о действиях сотрудника, а не о хакерской атаке. В компании заверили, что содержимое утечки отличается от той версии кода, которая сейчас используется в сервисах «Яндекса».
