Lekkasje av programkoden til Yandex-tjenester. Hvorfor er det viktig for alle

Hallo.

25. januar 2023 dukket det opp en 44,7 GB fil på et av forumene, den inneholdt kildekoder

de fleste Yandex-produkter fra den interneoppbevaringssted. I tillegg til koden inneholder filen detaljert dokumentasjon, kommentarer og verktøy for utviklere. Faktisk påvirket lekkasjen alle produktene som Yandex har laget det siste tiåret, koden deres har blitt offentlig tilgjengelig, den har blitt kompromittert. Situasjonen kan kalles enestående, ingenting som dette har noen gang skjedd i Russland. På den annen side, for et år siden, var det Yandex som var den første til å lekke dataene til kundene sine i Yandex.Food-tjenesten, både telefonnumre og kundenavn, samt deres bestillinger, adresser og datoer de gjorde for dem, ble offentlig tilgjengelig. Til syvende og sist betalte Yandex 60 tusen rubler for lekkasjen, til tross for at personopplysningene til kundene ble lekket. Men etter en hel rekke lekkasjer fra forskjellige selskaper i Russland, begynte de å bevege seg mot vedtakelsen av en lov om omsetningsstraff for lekkasje av personopplysninger.

Datalekkasje i Yandex.Food-tjenesten er et problem med personopplysninger

Datalekkasje i Yandex.Food-tjenesten - hva du spiste, hvor mye du brukte, hvor du bor. Og alt dette i en praktisk form på kartet.

Spillikins nr. 725. Forbudet mot fjernarbeid i Russland er en ødelagt telefon

Om forbudet mot fjernarbeid i Russland; omsetteligbot for datalekkasje; ødeleggelse av utstyr på kontorene til vestlige selskaper; Elon Musk og ytringsfrihet på Twitter; scooter fra Yandex; Midjourney og Harry Potter, samt Gaudi;

Yandex sin reaksjon på datalekkasje fra depotetvanligvis ikke samsvarer med omfanget av det som skjedde, kommentarene til pressetjenesten koker ned til at det pågår en intern etterforskning. Det viser seg at lekkasjen ikke ble oppdaget i pressen, men det gjorde «Yandex sikkerhetstjeneste», men det er lett å anta at de fant denne koden i en av artiklene der de fremhevet lekkasjen. Interessant nok var det de som stjal kodene som gjorde dette, og promoterte historien deres for å forårsake maksimal skade på Yandex. Et mesterverk fra pressetjenesten er uttrykket at kodene fra depotet er forskjellige fra de som brukes av Yandex i deres tjenester i dag.

For at du skal forstå problemet, vil jeg si at kodeneprodukter skrives ikke på én dag, ikke en gang en måned, dette er år med arbeid. Og ingen endrer programkoden som fungerer, den forblir uendret. Derfor viser kommentaren fra pressetjenesten til "Yandex" at folk enten ikke forstår dette, eller prøver å sette et godt ansikt på et dårlig spill, snarere det andre. Og selv om det er ønskelig, vil ikke Yandex kunne endre koden for tjenestene sine i løpet av noen måneder, det vil ta år. Derfor er denne lekkasjen så viktig, og dessuten, med riktig vurdering av risiko, vil det ta selskapet mye penger og tid å jobbe med den.

Sikkerhetsmodell for ethvert IT-selskaptyder på at angriperne ikke kjenner eller er dårlig orientert på det interne kjøkkenet. I tilfelle når det er kjent at angriperne er fullstendig klar over kodene til programvareprodukter, kan de lett se etter sårbarheter i dem, det er nødvendig å fikse alle problematiske koder så snart som mulig. Det vil si, i det minste ansette et team som vil begynne å gjøre det samme arbeidet som potensielle angripere kan gjøre, pluss gradvis erstatte selve koden. Den andre, som jeg skrev ovenfor, er umulig å gjøre raskt. Derav behovet for å søke etter hull, lappe dem med lapper. Og det er virkelig en stor hodepine.

Du kan gjøre det du vanligvis gjør"Yandex" - lukk øynene for problemet og late som om det ikke eksisterer. Og i øyeblikket vil det definitivt hjelpe, historien vil bli glemt, den vil løse seg, gradvis vil de slutte å snakke om den. Men akkurat til øyeblikket for neste datalekkasje, som definitivt vil påvirke brukerdata. Det er ingen tvil om at dette vil skje før eller siden.

Diverse

Tilknyttet materiale

Realiteten og utsiktene til IT-profesjonsmarkedet

Hvilke yrker er de mest populære og høyt betalte?

Lørdagskaffe #235

Hell en kopp oppkvikkende lørdagskaffe ogsjekk ut ukens nyheter. Apple introduserte nye prosessorer, TECNO viste en sammenleggbar smarttelefon, betalte apper dukket opp i RuStore, og HAVAL økte salget...

Full tank #4. Audi A4 test

Ny utgave av spalten vår dedikert tilbiler. I dag er det en del nyheter om nye crossovere i Coupe-versjonen fra Porsche og Mercedes-Benz, hvordan Yandex og Hyundai i fellesskap skal utvikle droner og selvfølgelig teste Audi A4-bilen. Gå!

Creative SFXI Air Gamer gaming headset anmeldelse. La oss skanne ørene dine

Kreativt tilpasset spillhodesettSXFI, som krever at du gir et bilde av ørene dine og installerer to apper på smarttelefonen. Hun har også to mikrofoner i settet og løftet om at hun kan erstatte et vanlig smarttelefonhodesett.

Feil skjer med alle, ingen gjør demforsikret. Men når de blir til en repeterende handling, oppstår et alvorlig problem. Dessverre er lekkasjer hos Yandex et systemfenomen, og vi snakker kun om lekkasjer som har blitt offentlig kjent, med stor effekt i media. Hundrevis av mindre lekkasjer er ukjente for oss, men de skjer hele tiden. Og det faktum at ansatte som er klare til å lekke dem enkelt og enkelt har tilgang til dataene gjør situasjonen eksplosiv.

I motsetning til mobiloperatører, hvorproblemet med lekkasje av personlige data, liste over samtaler og annen informasjon er relevant og tiltrekker seg oppmerksomhet, Yandex forblir en ting i seg selv, vi vet ikke hva som skjer i selskapet. Det er ingen datarevisjon utført av uavhengige aktører, noe som betyr at det eksisterer sårbarheter, inkludert i form av ansatte som «tar ut» disse dataene. Naturen til mennesker kjenner ingen unntak, prosentandelen av de som ønsker og kan tjene penger på andres data er omtrent den samme som mobiloperatørene. Gjett hva jeg leder frem til? Ideologiske krigere er i mindretall, men blant de som er klare til å dele dataene dine fra ulike Yandex-tjenester, inkludert søkeforespørsler, bestilling av taxi og mat, aktivitet på enheten, er det merkbart flere av dem. Dette er ikke et massemarked, kostnadene for slike data er veldig høye, men i motsetning til mobiloperatører maler de fullstendig et bilde av hvem en person er og hvordan han lever. Det er ingen måte du kan påvirke dette på, du kan bare krysse fingrene og håpe at du ikke tiltrekker deg oppmerksomheten til de som kan gi deg problemer.

Vær oppmerksom på at Yandex.Mat” fortsatte ikke, Yandex uttalte at de hadde kontaktet rettshåndhevelsesbyråer, det er en viss ansatt som lekket. Men det er ikke kommet flere detaljer. Jeg vil våge å antyde at den ansatte ikke er i Russland og ikke vil være ansvarlig for handlingene sine på noen måte, i Yandex setter de veldig stor pris på forhold, og derfor prøvde de inntil nylig å ikke legge press på ansatte, selv de som forpliktet seg forbrytelser i ordets bokstavelige forstand.

Kalle det som skjer ekkelt i forhold tilbedrift eller kolleger er ikke tillatt. Det er mer enn avskum. En direkte og utilslørt forbrytelse, og skaden av den er enorm. Men folk tror at de kan gjøre dette, spesielt siden de ikke er redd for straff. Yandex demonstrerte ved å bruke datalekkasjen fra Yandex.Eda som et eksempel at du ikke kan være redd for noe sånt, selskapet vil ikke forfølge folk til den bitre enden. Jeg spurte inne i Yandex om hvordan prosedyrene og kommunikasjonen med folk har endret seg etter Yandex.Food-lekkasjen. Svaret slo meg til kjernen - selskapet sendte ett brev (ett!), der de ba om å overvåke dataene, begrenset antall personer som har tilgang til tjenestedataene. Samtidig gjorde vi en prosedyre der brukere kan slette dataene sine i tjenester.

Det er tydelig at det indre arbeidet med å forklarefolk om hva lekkasjer betyr, hvordan de påvirker selskapet, det er mye arbeid. Og det er det som må gjøres. Men inne i Yandex skjedde ingenting som dette, selskapet foretrakk å "glemme" problemene deres. Og de kom tilbake igjen i form av en ny lekkasje. Det er mulig at hvis Yandex hadde utført slikt arbeid, ville dagens lekkasje i prinsippet blitt umulig.

Det finnes flere versjoner på markedet om hvorfornoen la ut kildekodene til Yandex-tjenester. I et fagmiljø er de av den oppfatning at dette er et bevisst steg for den delen av teamet som drar til andre land, de har gjort det lettere for seg selv å jobbe et nytt sted. De kunne ikke lovlig overføre koden til den samme Alice utenfor. Nå, på grunn av en lekkasje, har den blitt offentlig tilgjengelig. Dessuten lekket mest sannsynlig de trente modellene på nøyaktig samme måte, vi vet bare ikke om det. Brukerdata kan ha blitt ervervet av noen, så her vil vi heller ikke vite om lekkasjen deres. Versjonen har livets rett.

Datoen for filene er 24. februar, det vil si et snev avden politiske konteksten er tilstede, men det er mulig dette er et falsk spor. På den annen side ansatt Yandex i mange år folk med visse politiske tilbøyeligheter, de som oppriktig hater Russland, eller rettere sagt, det eksisterende statssystemet. Ankomsten av Alexei Kudrin til ledelsen av selskapet er nøyaktig statens tiltak for å rette opp situasjonen, for å rydde opp i selskapet fra slike tanker og handlinger. På denne bakgrunn er det lett å anta at lekkasjen bare er en demonstrasjon av shish i adressen til staten.

"Yandex" i fritt fall. Problemer med personellet til selskapet i Russland

Hvordan vendte Yandex det blinde øyet til politikk ellerbare latet som; som ansatte ansatte med en holdning mot staten; avgangen til administrerende direktør Elena Bunina og begynnelsen på Yandex sin selvsensur - alt for å redde selskapet.

Uansett hva dissehandlinger, kan det hevdes at de ble utført av en person i selskapet. Informasjonssikkerhet i Yandex er dårlig utført. Og jeg kan si dette, siden det er umulig å "utføre" 44 GB data og ikke tiltrekke oppmerksomhet. Dette er ikke en nål i en høystakk, den som gjorde dette burde ha fanget sikkerhetens oppmerksomhet. Men tar man i betraktning at det fungerer på samme måte som pressetjenesten, faller alt på plass.

For deg og meg, lekkasjer som skjer i Yandex,betyr en enkel ting - du må være forberedt på at andre data før eller siden vil være offentlig tilgjengelig. Taxiturene dine, bestillinger på mat, varer på markedet, forespørsler og det du sa til Alice. Vi vet ikke hvilke lekkasjer og når, men det faktum at lekkasjer av denne størrelsesorden skjer og ingen blir straffet i selskapet tyder på at dette kan gjentas. En bot på 60 tusen rubler er ingenting for Yandex. Ingen fra ledelsen har blitt straffet, det er ikke investert i databeskyttelse og sikkerhetsforbedringer. Lekkasjer lærer ikke Yandex noe.

Jeg foreslår på ingen måte at du"Yandex" akkurat her og nå, men du må måle risikoene dine, vurdere dem riktig. Hva skjer hvis alle reisedataene dine er offentlig tilgjengelige i morgen? Er det kritisk for deg eller ikke? Sett pris på dette øyeblikket riktig. Jeg bestemte meg for at jeg gradvis skulle overføre all data fra Yandex til et anonymisert telefonnummer (det er ikke knyttet til meg, har ikke blitt brukt noe sted), siden risikoen for lekkasje har økt veldig mye.

Fra departementet for digital utvikling og andre avdelinger er det nødvendigsette i gang en informasjonssikkerhetsrevisjon i Yandex, siden selskapet i dag har et stort utvalg av data om landets innbyggere og disse dataene tilsynelatende er svært dårlig beskyttet. Lekkasjene beviser det. Det er synd at dette ikke ble gjort etter den første storskala lekkasjen for ett år siden. Jeg lurer på om brukerdata lekker, hvilken posisjon vil tjenestemenn ta? At de ikke har noe med dette å gjøre og at dette er en privat bedriftsvirksomhet?

Dessverre er det mange som ikke skjønner omfangethva som skjer i Yandex og hvor forferdelig denne situasjonen er for oss alle. Det er synd, men ingen har det travelt med å beskytte rettighetene våre, verken Yandex eller staten representert av ulike avdelinger. Det faktum at Yandex-produkter infiltrerer hjemmene våre, stedet der vi er mest forsvarsløse (omtrent en million familier har Yandex-stemmekolonner som fungerer uavbrutt), gjør situasjonen enda mer komplisert. Og tiltak skulle vært gjort i går, i dag er det for sent. Men selv i dag skjer det ingenting, situasjonen er rett og slett feid under teppet, da det er upraktisk for alle uten unntak. Derfor venter vi på de neste lekkasjene, det vil de definitivt være, det eneste spørsmålet er omfanget deres.