В слитом исходном коде Яндекса нашли нарушения политик ИБ

В слитом исходном коде Яндекса нашли нарушения политик ИБ

В слитом исходном коде Яндекса нашли нарушения политик ИБ

Яндекс опубликовал результаты внутреннего расследования инцидента с попавшим в открытый доступ программным кодом. Оказалось, что вместе с ним слили данные некоторых партнеров, ошибки в системе часто исправляли “костылями”, а Алиса подслушивала хозяев. Кроме того, SEO-алгоритмы Яндекса очень похожи на Google.

Почти 45 ГБ программного кода сервисов Яндекса попали в Сеть на минувшей неделе. Уже не секрет, что торрент с кодом на хакерский форум выложил бывший сотрудник ИТ-корпорации. Дамп он сделал в июле 2022 года, сами файлы датируются февралем, как раз в период начала СВО.

Накануне вечером, на пятый день скандала, Яндекс представил общественности результаты внутреннего расследования, а также извинился перед пользователями и партнерами.

“Опубликованные фрагменты действительно взяты из нашего внутреннего репозитория — инструмента, с помощью которого разработчики компании работают с кодом, — говорится в отчете. — При этом содержимое архива соответствует устаревшей версии репозитория — она отличается от актуальной версии, которая используется нашими сервисами”.

И хотя ИТ-гигант по-прежнему утверждает, что опубликованные фрагменты не несут угрозы безопасности пользователей или работоспособности сервисов, собственный аудит показал серьезные нарушения политик информационной безопасности и этических принципов самого Яндекса.

А именно:

  • В коде содержались данные некоторых партнёров. Например, водителей — их контакты и номера удостоверений передавались из одного таксопарка в другой.
  • Зафиксированы случаи, когда логику работы сервисов корректировали не алгоритмами, а “костылями”.
  • В сервисе “Яндекс Лавка” существовала возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере.
  • Наличие приоритетной поддержки для отдельных групп пользователей в сервисах “Такси” и “Еда”.
  • Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но были сами по себе оскорбительны для людей разных рас и национальностей.

Кроме того, согласно исходному коду “Яндекс Алисы”, приложение способно включать микрофон устройства в случайный момент времени даже без упоминания “Алисы”. Это делалось якобы для улучшения качества активации ассистента.

“Сейчас нам очень стыдно, и мы приносим извинения нашим пользователям и партнёрам”, — заявили в “Яндексе”.

Одной из причин таких нарушений в политиках безопасности в самой компании назвали чрезмерную приверженность подходу Zero Bug Policy.

Политика нулевой терпимости к багам вынуждала ИТ-специалистов Яндекса постоянно что-то подкручивать и подставлять “костыли”, а не решать проблему системно.

Другой проблемой, которой, как выяснилось, в руководстве Яндекса уделяли мало внимание, стала техноэтика и моральные принципы. В коде “проскакивают” расистские и оскорбительные комментарии, оставленные айтишниками.

В конце расследования Яндекс еще раз извинился и пообещал “выучить урок”.

Добавим, накануне определённую закономерность в слитом коде обнаружил и SEO-консультант Мартин Макдональд (Martin MacDonald).

“Слив кода Яндекса — вероятно, самое интересное, что произошло в SEO за долгие годы”, — написал эксперт у себя в Twitter.

По словам другого исследователя Алекса Буракса (Alex Buraks), почти в 2 тыс. факторах ранжирования поисковой системы Яндекса угадывается “след” Google.

 

Яндекс, четвертая по объему поисковая система в мире, якобы берет на работу бывших сотрудников Google, чтобы использовать их осведомленность в SEO конкурента.

Буракс отмечает, первым в списке факторов ранжирования Яндекса значится “PAGE_RANK”. Он, весьма вероятно, связан с базовым алгоритмом, разработанным основателями Google.

Добавим, российское подразделение Google летом объявило о банкротстве в связи с “невозможностью исполнения денежных обязательств” из-за ареста банковского счета. Арбитражный суд Москвы ввел в компании процедуру наблюдения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Исследователи нашли Phantom Stealer в рассылке с пикантными вложениями

В июне 2025 года специалисты F6 Threat Intelligence заметили свежую фишинговую волну, которую окрестили Phantom Papa. Злоумышленники шлют письма на русском и английском с откровенными темами вроде «See My Nude Pictures and Videos» или «Посмотрите мои обнаженные фото и видео», а также с приманкой «Прикрепленная копия платежа №06162025». Внутри — архивы, которые в итоге запускают крадущий данные Phantom Stealer.

Phantom Stealer — новый «сборщик» данных, основанный на коде Stealerium. Он вытягивает пароли, данные банков и криптокошельков, содержимое браузеров и мессенджеров, делает скриншоты и перехватывает нажатия клавиш.

Для отправки награбленного используют Telegram, Discord или SMTP; в одной из кампаний фигурировал телеграм-бот papaobilogs (активен минимум с апреля 2025-го).

Как распространяют

  • Письма приходят с провокационными темами и корявым переводом на русский — явный след онлайн-переводчика.
  • Во вложениях — архивы .rar с образами .iso/.img, которые при открытии монтируются как диск и маскируют запуск «сборщика».
  • По данным F6 Business Email Protection, письма летят в компании из ретейла, промышленности, строительства, ИТ и др.

Масштаб

В логах обнаружены IP с устройств в 19 странах (включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и др.). Часть адресов — исследовательские виртуальные машины, но кампания явно не локальная.

 

Детали, на которые стоит обратить внимание

  • Из писем: «See My Nude Pictures and Videos», «Смотрите мои видео с обнаженными фотографиями», «Прикрепленная копия платежа №06162025».
  • Примеры хэшей вложений: 0f0192a4ee52729730cffb49c67f1e3b, 91441a640db47a03a4e6b4a8355cf4c4.
  • После запуска «сборщик» может:
    • закрепляться в системе (через планировщик задач/автозапуск),
    • добавлять исключение в Windows Defender,
    • отправлять архив с данными сразу на C2 либо, если он больше 20 МБ, — на файлообменник и передавать ссылку.

 

Отдельная ниточка тянется к семейству Agent Tesla: F6 нашла старые образцы с такой же иконкой и одинаковыми параметрами почтового аккаунта-получателя логов, что и в одной из конфигураций Phantom Stealer. Это может указывать на пересечение операторов или «наследование» инфраструктуры.

Где это продают

Исследователи нашли сайт phantomsoftwares[.]site (домен с февраля 2025 года), где рекламируются «продукты» линейки Phantom: от «crypter» до «stealer basic/advanced».

Что делать компаниям прямо сейчас

  • Фильтровать вложения и образы (.iso, .img) на почтовых шлюзах, включить разархивацию и статический анализ вложений.
  • Резко ограничить исполнение из пользовательских каталогов и отключить автозапуск образов.
  • Мониторить аномалии: создание задач в планировщике, правки настроек защитника, подозрительные сетевые соединения к Telegram/Discord API и SMTP-узлам.
  • Проверить утечки учёток и принудительно сбросить пароли в браузерах/мессенджерах.
  • Провести обучение сотрудников: не открывать «пикантные» вложения и «платёжки» из неожиданных писем, даже если тема выглядит убедительно.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru