“Яндекс” подтвердил утечку исходного кода своих сервисов

“Яндекс” подтвердил утечку исходного кода своих сервисов

“Яндекс” подтвердил утечку исходного кода своих сервисов

В Сеть попал исходных код более 10 сервисов “Яндекса”. Речь, в том числе, о почтовом клиенте, “Алисе” и платежном сервисе Yandex Pay. В компании заверяют, что утечка не затронула данные пользователей. Архив мог слить один из сотрудников “Яндекса”.

“Служба безопасности "Яндекса" обнаружила в открытом доступе фрагменты кода из внутреннего репозитория”, — сообщили в пресс-службе компании. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах "Яндекса", заверили там.

“Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы", — заверили в пресс-службе.

Источник, близкий к "Яндексу", сообщил ТАСС, что фрагменты кода попали в открытый доступ по вине одного из сотрудников компании. 

Инсайдера подтвердил и источник Forbes.

Первыми на утечку открытого кода сервисов “Яндекса” обратило внимание издание "Хабр"

Общий объем архивов, опубликованных на форуме breached[.]vc, составляет более 44,7 ГБ.

Автор публикации утверждает, что скачал исходный код еще в июле прошлого года.

Раздача содержит код более десятка сервисов, включая “Яндекс Карты”, поиск, “Яндекс Почту”, голосового помощника “Алису”, “Яндекс Маркет”, “Яндекс Go” и платежный сервис Yandex Pay.

Это не первая утечка информации из “Яндекса”. В марте прошлого года в Сеть попали данные пользователей сервиса “Яндекс.Еда”. Их также слил один из сотрудников. В результате в открытом доступе оказались телефоны клиентов и сведения о заказах. “Яндекс” тогда оштрафовали на 60 тыс. рублей.

В ноябре стало известно, что “Яндекс” также могут оштрафовать и за летнюю утечку из “Яндекс Практикума”.

Добавим, в начале декабря на работу в “Яндекс” из Счетной Палаты ушел Алексей Кудрин. В ИТ-корпорации он занял должность советника по корпоративному развитию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Chrome найдена 0-day в V8: Google выпустила срочное обновление

Google выпустила срочное обновление Chrome (140.0.7339.185/.186 для Windows и macOS и 140.0.7339.185 для Linux). Повод серьёзный — четыре критические уязвимости в компонентах браузера. И одна из них уже активно используется киберпреступниками.

Самая опасная проблема — уязвимость CVE-2025-10585 в движке V8, который отвечает за выполнение JavaScript и WebAssembly.

Ошибка типа «type confusion» позволяет злоумышленникам подменять данные в памяти и запускать произвольный код. Проще говоря, достаточно зайти на заражённый сайт — и система под ударом. Google подтвердила: эксплойт уже используется в реальных атаках, так что обновляться нужно немедленно.

Ещё три уязвимости не лучше:

  • CVE-2025-10500 — use-after-free в Dawn (WebGPU). Может приводить к сбоям или выполнению кода. За находку Google заплатила исследователю $15 000.
  • CVE-2025-10501 — use-after-free в WebRTC (онлайн-звонки и видеосвязь). Потенциально позволяет вмешиваться в живые коммуникации. Награда — $10 000.
  • CVE-2025-10502 — переполнение буфера в ANGLE, графическом движке для совместимости с OpenGL и Direct3D. Угроза — повреждение памяти и удалённое выполнение кода.

Что делать пользователям? Как обычно — не откладывать обновление. Chrome сам предложит перезапуск после установки патча, но лучше проверить вручную: меню → «Справка» → «О браузере Google Chrome».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru