В открытый доступ попали фрагменты старых исходных кодов компании, находившихся во внутреннем репозитории (место, где хранятся и поддерживаются какие-либо данные — прим. «Черты»). Общий объем слитых данных в сжатом виде превышает 44 ГБ. 25 января внимание на утечку обратил внимание портал «Хабр», а сегодня «Яндекс» подтвердил эту информацию.
Самыми большими опубликованными архивами стали frontend (18,26 ГБ), classfields (4,67 ГБ), market (4 ГБ), taxi (3,3 ГБ), portal (2,35 ГБ). Как пишут СМИ, речь идет о кодах более 10 сервисов компании. Человек, который выгрузил данные в открытый доступ, утверждает, что скачал архив еще в июле 2022 года. Компания не назвала виновного в утечке, но источник из «Яндекса» рассказал «РБК», что это один из сотрудников. Также представитель компании заявил, что угрозы для клиентов сервисов нет.
Консультант по информационной безопасности Алексей Шляпужников считает, что благодаря утечке, злоумышленники смогут эффективнее и быстрее атаковать сервисы «Яндекса» и его пользователей, получая доступ к их данным. Изучив код, мошенники поймут, где находятся слабые места и как лучше взломать сервис.
Вторая потенциальная угроза заключается в том, что «утек» не только алгоритм и программный код, но и frontend и дизайн. Это сделает создание фишинговых поддельных сайтов, похожих на «Яндекс», гораздо проще. Таким образом злоумышленники смогут атаковать аккаунты пользователей компании и воровать их данные.
«Это конечно, огромная репутационная и техническая потеря для “Яндекса”. Я очень надеюсь, что они проделают большую работу и расскажут всем пользователям, что они предприняли для того, чтобы их обезопасить и последствия этой утечки нивелировать», — говорит Шляпужников.
Весной прошлого года в сети появились личные данные 6,4 миллиона пользователей «Яндекс.Еды», в том числе адреса и номера телефонов. Служба безопасности сервиса сообщила, что причиной утечки стали «недобросовестные действия одного из сотрудников».