Публикация фрагментов программного кода проектов «Яндекса» в свободном доступе, что было обнаружено службой безопасности компании на прошедшей неделе, не несёт каких-либо угроз пользовательской личной информации или же работе сервисов. Соответствующие заявление компания опубликовала по результатам первичного расследования киберинцидента.
Начальные этапы расследования продемонстрировали, что представленные в свободном доступе фрагменты кода и данные не несут киберугроз для безопасности пользовательской информации и работе сервисов, сообщили в «Яндексе». Вместе с этим, в компании убеждены, что ситуация такого рода, связанная с утечкой данной, является поводом для проведения крупномасштабного аудита всего содержимого репозитория.
В частности, как заявили в «Яндексе», во время первых этапов аудита были обнаружены некоторые случаи серьёзных нарушений ИБ-политик компании. Эксперты выявили контактную информацию некоторых партнёров «Яндекса», к примеру, водителей (их контактные данные и сведения о водительских удостоверениях, передача которых осуществлялась из одного таксопарка в другой).
Также были зарегистрированы случаи, когда логику функционирования сервисов изменяли не по способу алгоритма, а временными решениями, реализованными неоптимально. Подобными решениями, как уточнили в «Яндексе», были исправлены некоторые ошибки в системе рекомендаций, отвечающей за дополнительные элементы поисковой выдачи, а также внесены изменения в настройки поиска по изображениям и видеороликам.
Анализ показал, что в сервисе «Яндекс.Лавка» была возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере.
В компании также указали на то, что некоторые части утекшего кода включали в себя фразы, не влияющие на функционирование сервисов, но сами по себе они были оскорбительны для людей отдельных национальностей и рас. Фрагменты кода содержат в том числе и тестовый алгоритм, используемый исключительно внутри компании «Яндекс» для проверки правильности работы сервисов.
В связи с этим «Яндекс» инициировал перенос из репозитория всей информации, которая не имеет отношения к алгоритмам и настройкам сервиса. Эти сведения будут находиться в дальнейшем под дополнительной защитой.
