«Яндекс» подтвердил утечку исходного кода своих сервисов. Теперь компания занимается поиском виновника инцидента. По данным СМИ, выложить в сеть файл объемом в 45 гигабайт мог один из сотрудников IT-гиганта. Сам архив с исходным кодом появился в интернете 25 января. Судя по названиям папок, в нем содержится информация, связанная с сервисами поиска, такси и карт. Чем это может грозить? И кто ответит за утечку? Разбирался Владислав Викторов.
Очередная утечка данных, с которой столкнулся «Яндекс», затронула не менее десятка сервисов компании. В том числе «Карты», «Почту», платежный сервис и голосового помощника «Алиса». В самом «Яндексе» пояснили, что в открытом доступе оказались лишь фрагменты кода. А содержимое файлов отличается от текущей версии. Хотя автор публикации с архивов уверяет, что скачал исходный код в июле 2022 года.
И если это так, то злоумышленники могут найти там уязвимости и использовать их для дальнейших атак, отмечает начальник отдела информационной безопасности компании SearchInform Алексей Дрозд:
«Допустим, там найдется исходник, из которого можно будет понять, как формируется поисковая выдача у компании. Святой Грааль всех сеошников. Это кардинально перетряхнет SEO-рынок. И все, что выдвигалось на первые строчки, задвинется неизвестно на какие, поскольку выводить начнут все что угодно. Допустим, обнаружится какая-нибудь дырка, которая позволит получить доступ к данным пользователей. Залог успеха здесь в том, что найдут исследователи».
Но учитывая объем архива — а это почти 45 гигабайт — можно считать это крупнейшей утечкой данных за последнее время, говорят эксперты. Но в целом сам по себе код бесполезен. Как минимум собрать свой «Яндекс» с этой информации не получится. Но как бы то ни было, в самой компании сейчас проводят внутреннее расследования. Там уверяют, что в появившихся документах нет персональных данных клиентов, и это точно не взлом.
Источники некоторых СМИ утверждают, что виновником утечки мог стать один из сотрудников «Яндекса». Так что самому IT-гиганту ничего не грозит, отмечает партнер юридической компании «Томашевская и партнеры» Роман Янковский: «У нас нет штрафа для компании за халатность с информационной безопасностью, если не причинен ущерб персональным данным пользователей. По умолчанию у нас нет и административного штрафа просто за утечку информации. Есть ответственность для тех, кто виновен в сливе данных, но это другое. И, соответственно, если кого-то взломают, то ответственность ложится конкретно на того, кто это сделал, а не на компанию, которая плохо следила».
При этом вычислить виновника инцидента будет непросто, считают эксперты. Теоретически к этому можно привлечь правоохранительные органы, если сама компания напишет заявление в полицию. Так в 2019-м году поступил «Сбер». Но тогда в банке произошла утечка именно персональных данных 200 клиентов. В итоге виновник был найден «в считанные часы», как заявили позже в организации. Им оказался руководитель одного из подразделений банка.
А в случае с «Яндексом» непонятно, за что именно привлекать провинившегося сотрудника. Во всяком случае, вариантов может быть несколько, говорит юрист компании Comply Артем Сафьянников: «Скорее всего, исходный код у "Яндекса" был защищен, поскольку это коммерческая тайна. Либо это можно обозначить как, например, секреты производства, ноу-хау. Работника, который неправомерно распространил этот код, могут привлечь к дисциплинарной ответственности, с него могут взыскать прямой ущерб.
Но будет достаточно сложно доказать понесенные компанией убытки с учетом того, что сам по себе слитый код не означает, что его как-то могут использовать во вред деятельности "Яндекса"».
В 2022 году «Яндекс» также сталкивался с масштабной утечкой, правда тогда речь шла именно про персональные сведения. Тогда в сеть попали данные клиентов сервиса «Яндекс Еда». Да и в целом после начала боевых действий на Украине подобные инциденты участились в 40 раз, подсчитывали аналитики Group-IB. И, по прогнозам, в 2023 году положение будет только ухудшаться.
Новости в вашем ритме — Telegram-канал "Ъ FM".
Все материалы Коммерсантъ www.kommersant.ru