«Яндекс» раскрыл первые результаты расследования утечки исходного кода
Появившиеся в интернете фрагменты исходного кода сервисов «Яндекса» были взяты из внутреннего репозитория, подтвердила компания. Она провела аудит и нашла серьезные нарушения собственных правил: например, в некоторых частях кода были слова, оскорбительные для людей разных рас и национальностей, а в сервисах такси и доставки одни пользователи были приоритетнее для поддержки, чем другие
«Яндекс» сообщил о предварительных результатах расследования утечки фрагментов исходного кода сервисов компании, о которой стало известно 26 января.
Компания подтвердила, что код был взят из внутреннего репозитория — инструмента, с помощью которого разработчики работают с кодом. Содержимое архива, опубликованного в интернете, соответствует устаревшей версии репозитория и не несет угрозы безопасности пользователей или работоспособности сервисов, утверждает «Яндекс».
При этом «масштабный аудит» всего содержимого репозитория выявил «несколько случаев серьезного нарушения» собственных правил компании, говорится в сообщении «Яндекса». Он обнаружил, что в коде содержались данные партнеров: например, контакты и номера водительских удостоверений таксистов, которые передавались из одного таксопарка в другой. Проверка показала, что в сервисе «Яндекс Лавка» можно было вручную настраивать рекомендации любых товаров без пометки о рекламе, а в сервисах «Яндекс Такси» и «Яндекс Еда» была приоритетная поддержка для отдельных групп пользователей.
Кроме того, «Яндекс» нашел в коде «оскорбительные для людей разных рас и национальностей» слова, а также зафиксировал случаи, когда неполадки исправляли так называемыми костылями — временным, сделанным на скорую руку способом, — вместо того чтобы придумать оптимальное решение. В некоторых опубликованных фрагментах кода были тестовые алгоритмы: например, настройка, которая активирует микрофон устройства с голосовым помощником на несколько секунд в произвольный момент даже без упоминания этого голосового помощника, сообщил «Яндекс». Подобные алгоритмы использовались только внутри компании, заверил он.
«Яндекс» принес извинения пользователям и партнерам и отметил, что ему «стыдно» за допущенные нарушения. Компания сообщила, что готовит стандарты этики в технологической сфере и исправит весь код, который не будет им соответствовать. Для контроля «Яндекс» сформирует новую службу, которая будет отвечать за соответствие кода заявленным принципам, говорится в сообщении.
«Яндекс» не сообщил, что стало причиной утечки кода. Ранее компания говорила, что «никакого взлома не было». К публикации кода в открытом доступе причастен один из сотрудников, говорил источник Forbes, близкий к «Яндексу».