Фрагменты программного кода некоторых сервисов компании «Яндекс» оказались в открытом доступе на минувшей неделе. Все утекшие данные содержались в репозитории — внутреннем инструменте, при помощи которого разработчики вносят поправки в код. В понедельник, 30 января, «Яндекс» раскрыл предварительные результаты внутреннего расследования.
В компании подчеркнули, что в открытом доступе оказались старые данные. Они отличаются от актуальных версий, которые сейчас используются в сервисах.
«Опубликованные фрагменты не несут какой-либо угрозы для безопасности наших пользователей», — сказано в сообщении.
Проведенный аудит обнаружил во фрагментах серьезные нарушения внутренних правил компании. Там нашли данные водителей такси, а также их контакты и номера водительских удостоверений, которые передавались из одного таксопарка в другой.
В сервисе «Яндекс.Лавка» обнаружили возможность ручной настройки рекомендаций любых товаров без пометки о рекламе, а в сервисах «Такси» и «Еда» оказалась приоритетная поддержка для отдельных групп пользователей.
«Нам очень стыдно, и мы приносим извинения нашим пользователям и партнерам. Считаем необходимым рассказать, почему такое происходило и что в связи с этим мы намерены предпринимать», — заявили в компании.
Большую часть выявленных нарушений объяснили попытками ручной корректировки кода или устранения ошибок, что приводило к неправильной работе алгоритма. В «Яндексе» действует политика нулевой толерантности к «багам», но временные решения нарушали внутренние правила компании.
В сложившейся ситуации «Яндекс» возобновил работу по формированию стандартов и принципов этического отношения к данным. В ближайшее время их опубликуют на сайте компании, а фрагменты кода, которые им противоречат, исправят.
Репозиторий останется открыт для всех разработчиков. Данные, которые не имеют отношения к работе алгоритмов и настройке сервисов, оттуда перенесут и дополнительно защитят.