У сеціва патрапіла вялікая база кодаў расійскай кампаніі «Яндэкс». 44, 7 гігабайт з «Яндэкс – мапаў», дырэкту, пошты, таксі, пошукавага рухавіку і «Алісы». «Яндэкс» падцвердзіў уцечку інфармацыі і запэўніў, што карыстальнікам нічога не пагражае, бо персанальных дадзеных там няма. Для ІТ – супольнасці такі зліў – падзея, бо адкрывае шмат сакрэтнай, унутранай інфармацыі пра працу кампаніі. Беларускі ІТ-спецыяліст Аляксандр Чарнавокі пракаментаваў зліў і рэакцыю на яго прафесійнай супольнасці.
ITЗліў базы досыць вялікі. Уцяклі коды асноўных сэрвісаў кампаніі.Таксама «Аліса», чым больш за ўсё зараз людзі цікавяцца. Самы вялікі па аб’ёме пакет франтэнд – уся кодавая база выяў з браўзера ўсіх гэтых сэрвісаў. Уцёк пошук дастаўкі ежы, «Яндэкс – дыск». Усе флагманскія прадукты «Яндэкса», каторыя нам вядомыя як сэрвісы, зараз можна паглядзець, як яны зробленыя ўнутры, на чым пісаліся.
Наколькі зліў небяспечны для кампаніі?
Для карыстальнікаў кампаніі наўрад ці ёсць небяспека, бо ўсе асабістыя дадзеныя з «Яндэкс-дыску» і «Яндэкс-пошты» захоўваюцца на іншых сэрвісах. Але дзякуючы зліву, хакерам будзе лягчэй разумець, як устроены код і сістэмы аховы, дзе зручней знайсці ўразлівасці і г.д. Альбо, дзе яны сістэму ўласнай бяспекі не скарысталі.
Таксама людзям, якія займаюцца праграмаваннем, цікава паглядзець тэхналогіі, каторыя ёсць у «Яндэксе». Гэта ўжо актыўна абмяркоўваецца. Таму, што самая хадавая мова Python, якая там выкарыстоўваецца, досыць старой версіі. То бок, у прадуктах, што звычайна аднаўляюцца, яны не перайшлі на версіі Python-3 і вышэй. Гэта такі забаўны факт.
Можна таксама паглядзець, што там у «Алісы пад капотам» стаіць у якасці блакіратараў. То бок, калі «Аліса» працуе, як штучны інтэлект, а калі па пытаннях, на якія яна адказваць не будзе. Раней пра гэта можна было проста здагадацца па яе адказах, а зараз гэта пацвердзілася.
Хто і як арганізаваў такі зліў?
Шмат версій зараз, як гэта стала магчыма і праз каго. У «Яндэксе» калісьці быў монарэпазіторый, калі ўсё захоўвалася ў адной базе. І ўся кодавая база захоўвалася пад адным агульным паролем. Потым яна разышлася па шмат рэпазіторыях, што мы зараз бачым. У добрай кампаніі наўрад ці зроблена так, каб чалавек, які мае доступ да «Алісы», таксама меў доступ да «Яндэкс-ежы», альбо «Яндэкс-мап». То бок, калі гэты зліў зрабіў чалавек з кампаніі, то, хутчэй за ўсё, ён меў высокі ўзровень доступу. Пералік такіх спецыялістах ідзе не на сотні, а на дзясяткі.
Цягам часу мы даведаемся, хто. Але відавочна, што зроблена гэта не з мэтай зарабіць грошаў, бо базы выкладзеныя бясплатна ў агульны доступ. Часта бываюць злівы прыватных баз, калі за кожнае спампаванне просяць біткойны. Гэта не той выпадак. Падобна на наўмыснае жаданне паказаць, як кампанія працуе. Такое бывае падчас масавых скарачэнняў, калі людзі помсцяць кампаніі. Цягам часу мы даведаемся, але пакуль дакладна гэта невядома.
Такія рэчы кампаніям цяжка перадухіліць, бо гэта залежыць ад шчырасці і даверу людзей. У многіх кампаніях людзі праходзяць праверкі на паліграфе. А тыя, хто мае доступ, праходзяць і дадатковыя праверкі, каб перадухіліць магчымасць уцечкі інфармацыі.
Вялікай пагрозы кампаніі гэты зліў не нясе. Нельга сказаць, што зараз нехта паводле гэтых баз запусціць свой такі рухавік. Гэта мала верагодна проста па кошце сервераў, на якіх такое можна запусціць. Вельмі дорага.
Якую карысць са зліву могуць атрымаць канкурэнты «Яндэксу»?
Каб знайсці там нешта карыснае, патрэбны добры чалавечы рэсурс па часе і кваліфікацыі, каб ва ўсім гэтым разабрацца. Сорак гігабайт з рэпазіторыяў – гэта вельмі шмат. Гэта тое, што стварала гадамі найбуйнейшая ІТ- кампанія Расіі высілкамі вялікай колькасці распрацоўшчыкаў. Калі, напрыклад, чалавек прыходзіць у нейкі праект, яму даюць ментара, які тлумачыць, як усё працуе. А тут ніякага ментара няма, толькі код. Патрэбны вялікі талент, кваліфікацыя і час, каб вынесці адтуль нейкую карысць. Але такія спробы, думаю, будуць. Канешне, пагрозы, што праз зліў кампанія разваліцца, акцыі ўпадуць і канкурэнты ўсё расцягнуць, няма. Але пэўныя страты, у тым ліку, рэпутацыйныя, будуць.
Такога кшталту зліў гэта больш чалавечы фактар, альбо аўтаматыка падвяла?
У дадзеным выпадку магчымы праблемы з аўтаматыкай, калі гаворка ідзе пра зліў некалькі рэпазіторыяў з розных месцаў. Тады кампаніі варта паклапаціцца аб тым, каб доступ да месцаў захоўвання інфармацыі мелі толькі выключныя людзі. Літаральна адзін СТО і пара чалавек, якім ён давярае. Тады будзе прападаць не цалкам уся база, а толькі асобныя яе кавалкі. Адпаведна, калі зліваюцца такія асобныя часткі, прасцей знайсці крыніцы зліву, заткнуць дзіркі, змяніць паролі і ключы.
Таму што ў дадзеным выпадку апроч кодаў злілі і некаторыя ключы АРІ. Для карыстальнікаў гэта бяспечна. А вось для «Яндэксу» гэта дрэнна, бо тыя сэрвісы, да якіх раней быў доступ эксклюзіўны, альбо за грошы, зараз можна паспрабаваць атрымаць свабодна. І карыстацца, пакуль усе ключы не зменяць.
Якія іміджавыя страты пагражаюць «Яндэксу»?
Праграмісты зараз будуць ведаць, у якую кампанію не варта ісці працаваць. Бо якасць напісана коду не адпавядае таму, як «Яндэкс» пра сябе заяўляе. Фактычна, людзі ведаюць, што з імі працуюць, кажучы на жаргоне, «крысы», здольныя на перадачу інфармацыі ўнутры каманды. З такім заўжды непрыемна працаваць. Для прафесійнай супольнасці праграмістаў, распрацоўшчыкаў, спецыялістаў па штучным інтэлекце, гэты зліў зараз – тэма нумар адзін. Паглядзець, пакапацца, часам пасмяяцца з той кодавай базы.
Тую ж «Алісу» навучалі, як з мацюкамі працаваць і як на палітычныя пытанні адказваць. Цікава даведацца, у якіх выпадках ставілася блакіроўка, каб зразумець, што там далёка не ўсё празрыста.
Асноўная рэакцыя прафесійнай супольнасці – ажыўленне і гумар. Ёсць што абмяркоўваць і спраўдзіць свае здагадкі. Напрыклад, як працуюць пошукавыя сістэмы, перадузята ці не адфільтроўваюцца навіны і г.д. Ужо заяўлена, то сістэма «Алісы» насамрэч падслухвае карыстальнікаў. У мяне няма магчымасці гэта праверыць, таму пацвердзіць не магу. Але ўжо выказаліся, што нават у выключаным стане «Аліса» вядзе пастаянны запіс і персанальныя запыты ідуць не толькі на рухавік, а некуды далей. У гэтым «Яндэкс» заўжды абвінавачвалі. Тут нічога новага. Хутчэй за ўсё, усе разумныя калонкі працуюць такім чынам.
Для навучання штучнага інтэлекту такія дадзеныя патрэбны. Тут важна, каб гэтыя дадзеныя адразу ставіліся дэперсаналізаванымі. То бок, каб штучны інтэлект у момант навучання не ведаў, каму яны належаць. Таксама дадзеныя не павінны прасочвацца далей.
Апошнім часам у расійскіх прадуктаў рэпутацыя значна знізілася. Гэты выпадак дадасць яшчэ сораму, але не настолькі, каб сышлі асноўныя карыстальнікі. Калі б гэта была буйная міжнародная кампанія з моцнай рэпутацыяй і культурай, то для такой гэта было б праблемай.
Больш слухайце ў плэеры ніжэй.
Comments are closed.