Новость вчерашняя, но я вежливый и не стал писать, пока все не стало публичным. В общем, кто-то очень недобрый выложил в открытый доступ полное дерево исходных текстов всех сервисов из репозиториия Яндекса. Там и поиск, и Алиса, и даже Такси есть (по ссылке обзор контента).

Важно понимать: по сути это довольно бесполезно, подходит для изучения кода, но запустить из этого свой яндекс не выйдет. Во-первых, попробуйте хоть что-то оттуда собрать, это очень неочевидно и часто требует внутренней инфраструктуры Яндекса. Во-вторых, для ИИ-проектов нет самого главного — натренированных весов, т.е. модель, которая у вас получится после сборки, просто не обучена. Датасета для обучения тоже нет.

Тем не менее, 40+ гигабайт сорцов — прецедент серьезный и явно политический. И даже не спросишь «а что случилось».

https://arseniyshestakov.com/2023/01/26/yandex-services-source-code-leak/

Сегодня главная новость - утечка исходников Яндекса. Утекло в паблик очень много - 44 Гб в сжатом виде, 83 репозитория.
Дальше по порядку, самое интересное в конце.

1. Утекли исходники почти всех продуктов. Там есть и Почта, и Такси, и Диск, и Алиса. Врядли эти исходники кто-то сможет использовать напрямую, этого точно не стоит бояться.

2. Пользовательских данных, в первом приближении, там нет. В том смысле, что это именно исходники, конфиги, но не базы данных

3. Часто утечка исходников сильно вредит безопасности продукта, потому что там бывают захардкоженные секреты и простые уязвимости. На первый взгляд, здесь этого тоже нет, по крайней мере в сравнении с масштабом утечки. Секреты не хранятся в коде напрямую, а подтягиваются откуда-то еще - это очень правильно, так и нужно всегда делать.

4. Очень много самописных внутренних инструментов, много документации. Интересно для изучения, чтобы понимать как работают большие компании и их IT-инфраструктура. Кажется, что в Яндексе есть сильный перевес в пользу "напишем сами" даже тогда, когда другие компании обошлись бы опенсорсом.

5. Конечно, интересен репозиторий security 🙂 Там тоже внутренние инструменты, всевозможные сканеры, разбиралки тикетов, все на достаточно продвинутом уровне.

6. Дальше еще интереснее. Яндекс массово использует Телеграм в качестве рабочего мессенджера. В файлах есть куча ссылок на чатики в телеграме, по которым можно было прийти и вступить. Сразу после новости о сливе большую часть из них подчистили, но не все. Использование Телеграма - большая проблема и боль для безопасности. Правильный выход - это конечно использование корпоративного мессенджера с полным запретом личных. Но у них тоже есть свои недостатки, телеграм просто очень удобный. В Яндексе используют специального телеграм-бота, которого добавляют в чатики и он следит, чтобы там не было чужаков. Но понятно, что работает это только в тех чатиках, куда бота не забыли добавить.

7. В репозитории Алисы тоже много интересного. Именно самой говорящей модели Алисы вроде нет, но есть много разных скриптов для ее обучения, фрагментов обучающих данных и т.п. Есть выборки реальных (анонимных) запросов пользователей к Алисе, очень интересные. На скриншоте фрагмент файла с реальными призывами к Алисе замолчать. Его можно растащить на мемы буквально целиком

8. В репозитории Почты есть код, который занимается разметкой данных из писем. В том числе анализируются письма с подписками на разные онлайн-сервисы, письма с чеками. Зачем именно - неясно, возможно Яндекс так мониторит конкурентов по рынку?

9. Подход с "монорепой", когда весь код большой компании лежит в одном большом репозитории имеет и свои плюсы и минусы. Когда много сотрудников имеют доступ сразу ко всему - с одной стороны это очень удобно, а с другой, утечка становится вопросом времени. Надо быть к ней готовыми.

10. Данных очень много, это все еще только предстоит изучать. Что делать Яндексу? Да ничего, выпустить пресс-релиз, что исходники старые, данные пользователей в безопасности, взлома не было, виноват инсайдер 🙂 Ну и старательно найти и инвалидировать все секреты.

11. Можно еще сделать красивый жест, выложить официально в опенсорс часть внутренних инструментов и библиотек. Хуже уже точно не будет, а лучше будет.

@ciso_on_fire

Санкции, взломы госсервисов, утечки данных

Об этом и многом другом поговорим уже завтра на конференции Privacy Day 2023.

Во втором треке эксперты поднимут вопросы приватности в непростое время и обсудят изменения подходов в использовании и защите персональных данных.

В программе – выступления спикеров, панельные дискуссии и презентации новых проектов в сфере Privacy Tech.

🔔Подписывайтесь на YouTube-канал Privacy Day и ставьте колокольчик, чтобы не пропустить онлайн-трансляцию.

⚡️В 13:00 возвращаемся в прямой эфир с важной дискуссией о приватности во время военных действий и глобальных катастроф

Спикеры:

▫️Артур Хачуян, Tazeros Global Systems
▫️Иван Бегтин, «Информационная культура»
▫️Чиков, «Агора»
▫️Артем Козлюк, «Роскомcвобода»
▫️Роман Нестер, НИУ ВШЭ

Подключайтесь по ссылке и задавайте вопросы спикерам:
➡️ https://www.youtube.com/live/zUPYMW_tsUo

🚀 Калибры не закончатся никогда: как Россия в обход санкций достает чипы для ракет

Согласно подсчетам Минобороны Украины, с 23 февраля 2022 года по 3 января 2023 года российские войска выпустили в воздух 4,5 тысячи различных снарядов: от управляемых зениток до гиперзвуковых ракет «Кинжал».

🟠 Западная начинка

Значительная часть средств дальнего огневого поражения работает только благодаря иностранным микросхемам в бортовых системах. Поэтому весь мир прогнозировал истощение запасов ракет у России из-за введенных ограничений на экспорт электроники.

Однако иностранными комплектующими продолжают кишеть не только ракеты, но и вся остальная техника. Даже индивидуальное снаряжение солдат содержит электронику в различных биноклях, дальномерах и тепловизорах.

🟠 Как Кремль выходит из положения

Российские импортеры успешно обходят все ограничения за счет разных уловок:

- посредников;
- замещения иностранных микросхем устаревшими, но пригодными советскими разработками;
- отказа от более совершенных зарубежных образцов в пользу менее продвинутых;
- промышленного шпионажа;
- реэкспорта через третьи страны.

Кроме этого, наши умельцы научились устанавливать чипы из бытовой электроники даже в такие сложные устройства, как бортовые вычислительные комплексы высокоточных ракет.

Бесполезность санкций прекрасно иллюстрируют присутствующие на российском вооружении дроны-камикадзе «Герань», которые оказались разработаны в заваленном по уши санкциями Иране. Если им удается собирать дроны из западных комплектующих, то для Кремля это тем более не проблема.

Полный текст расследования: https://theins.ru/politika/258264

Илья Прусикин
Фидель Агумава
Эрдни Омбадыков
Рафис Кашапов
Дарья Серенко
Общество с ограниченной ответственностью «Философия ненасилия»
Фонд развития цифровых прав