В сети опубликованы более 44 гигабайт исходных кодов многих сервисов компании «Яндекс», включая облако, музыку и почтовую службу. Архив опубликован на портале BreachForums. После распаковки можно увидеть ряд архивов, название которых явно определяет принадлежность к определенному сервису.
Представители компании заверили, что инцидент не связан с взломом – опубликованы устаревшие исходные коды с внутреннего репозитория. Код предназначен для использования разработчиками, а данные из опубликованного архива значительно отличаются от текущей версии репозитория.
Разработчик Арсений Шестаков отметил, что файлы в архиве созданы в феврале 2022 года и ранее были частью репозитория. Специалист заверил, что в некоторых файлах присутствует современная версия исходного кода и актуальная документация. При этом история изменений отсутствует, преобладают только файлы с программным кодом. В архивах также практически отсутствуют двоичные файлы приложений и рабочие модели ML. Он также отметил, что личные данные пользователей отсутствуют. Есть набор ключей для работы с API, но скорее всего, они использовались только на этапе тестирования.
Это уже не первый инцидент с утечкой файлов компании «Яндекс». В 2022 году в сети были опубликован значительный массив данных о клиентах сервиса «Яндекс.Еда». Позднее представители компании официально подтвердили, что файлы содержали номера телефонов пользователей и информацию о заказах. При этом данные для аутентификации и платежная информация похищена не была.
Аналитики отмечают, что последние годы количество инцидентов с персональными данными крупных компаний РФ заметно увеличилось. На этом фоне власти все активнее продвигают идею введения крупных штрафов для компаний, которые не смогли обеспечить достаточный уровень безопасности. Большинство компаний, включая «Ростелеком», «Яндекс», «Авито» и OZON, крайне негативно отнеслись к уровню наказания. Они посчитали, что на фоне текущей экономической ситуации настолько высокие штрафы могут негативно сказаться на функционировании компании. Минцифры в ответ предложили более мягкую схему – за первый инцидент налагается фиксированный штраф, а уже далее применять штрафы, привязанные к обороту компании.