«Яндекс»: слитые в Сеть фрагменты репозитория не несут угрозы для безопасности пользователей

На прошлой неделе в открытом доступе были обнаружены фрагменты программного кода некоторых сервисов «Яндекса». Компания начала внутреннее расследование инцидента.

«Опубликованные фрагменты действительно взяты из нашего внутреннего репозитория — инструмента, с помощью которого разработчики компании работают с кодом. При этом содержимое архива соответствует устаревшей версии репозитория — она отличается от актуальной версии, которая используется нашими сервисами», — заявили в компании.

Первичный анализ показал, что опубликованные фрагменты не несут какой-либо угрозы для безопасности пользователей или работоспособности сервисов. В то же время в «Яндексе» решили, что сложившаяся ситуация — повод провести масштабный аудит всего содержимого репозитория. В результате в коде было выявлено в коде несколько случаев серьезного нарушения собственных политик компании, в том числе принципов «Яндекса» и правил корпоративной этики.

В частности, в коде содержались контактные данные некоторых партнеров компании. Например, водителей — в некоторых случаях их контакты и номера водительских удостоверений передавались из одного таксопарка в другой.

Зафиксированы случаи, когда логику работы сервисов корректировали не алгоритмическим способом, а «костылями» (на языке разработчиков так называется временное решение, реализованное неоптимально и впопыхах). Через такие «костыли» исправляли отдельные ошибки системы рекомендаций, которая отвечает за дополнительные элементы поисковой выдачи, и регулировали настройки поиска по картинкам и видео.

В сервисе «Яндекс Лавка» существовала возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере. Также обнаружилось наличие приоритетной поддержки для отдельных групп пользователей в сервисах «Такси» и «Еда». Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но были сами по себе оскорбительны для людей разных рас и национальностей.