Б-безопасность
Злоумышленники утащили у Яндекса исходного кода почти на 44Gb.
Ну что ж, ждем новых волн утечек данных пользователей?
Злоумышленники утащили у Яндекса исходного кода почти на 44Gb.
Ну что ж, ждем новых волн утечек данных пользователей?
Неизвестный опубликовал в открытом доступе (на форуме BreachForums) архив, включающий содержимое внутренних Git-репозиториев компании Yandex. Утверждается, что утечка произошла в июле 2022 года (внутри все файлы датированы 24 февраля 2022 года). Архив, размер которого 44.71 ГБ, включает срезы репозиториев с кодом 79 сервисов и проектов компании, среди которых поисковый движок (фронтэнд и бэкенд), бот индексации страниц, платформа web-аналитики Yandex Metrika, картографическая система Yandex Maps, голосовой помощник Алиса, информационная система службы поддержки, Яндекс Такси, Yandex Phone, рекламная платформа Yandex Direct, почтовый сервис Yandex Mail, хранилище Yandex Disk, сеть доставки контента, торговая площадка Yandex Market, бизнес-сервисы Yandex360, облачная платформа Yandex Cloud и платёжная система Yandex Pay.
Компания Яндекс подтвердила утечку, но заявила, что она произошла не в результате взлома. Также уточняется, что утечка охватывает только код и не затрагивает данные и персональную информацию. Тем не менее, в ходе анализа содержимого архива энтузиасты уже выявили несколько ключей доступа к API, которые предположительно использовались в процессе тестирования, но не применялись в рабочих окружениях. Код опубликован в форме среза содержимого репозиториев, без истории изменений. Кроме кода в архиве также имеется внутренняя документация, в которой упоминаются ссылки на web-сервисы в интранет-сети компании.
Как утверждается, буквально вчера произошли интересные новости, а точнее в сеть попали архивы с исходными кодами многих сервисов Яндекса.
Одна вакансия, два кандидата. Сможете выбрать лучшего? И так пять раз.
А кто-нибудь может дать ссылку на материалы этого дела? Мне не удалось найти. В новостях пишут что оштрафовали "из-за утечки данных", ссылаются на ч. 1 ст. 13.11 КоАП РФ. Люди недоумевают, почему всего 60к. А я недоумеваю: причем тут статься ч. 1 ст. 13.11 КоАП РФ и утечка? В КоАП говорится:
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деянияХочу разобраться за что именно оштрафовали, подозреваю, что штраф на самом деле в каком-то нарушении в процессе обработки, а не в самой "утечке".
Скорее всего утечка послужила поводом к проверке РКНом Яндекса, и в результате проверки и было найдено то, за что штрафануть. С другой стороны, распространение информации, это тоже обработка, а так как распространение не нужно для достижения целей обработки, поэтому и является незаконным.
"Судом удовлетворено заявление Роскомнадзора, компании "Яндекс.Еда" назначен штраф в размере 60 тыс. рублей"
Согласно материалам дела, "Яндекс.Еда" допустила утечку персональных данных, подпав под действие ч. 1 ст. 13.11 КоАП РФ. Максимальное наказание по данному составу - 100 тыс. рублей.
Ранее 33 пользователя обратились в суд, требуя каждый по 100 тыс. рублей.
Источник: https://tass.ru/proisshestviya/14435979
Как так вышло:
Яндекс отправляет общение с голосовым помощником Алиса рандомным пользователям своего сервиса "Толока"
Зачем:
Каждая компания, которая делает своего голосового помощника, нуждается в проверке корректности распознавания команд, которые дают пользователи. Такой процесс называется транскрипция. Иностранные компании, чтобы сделать такую штуку, нанимают подрядчиков, который обещает хранить тайну всего о том, что пользователи наговорят. Но в случае с Толокой пользователи ничего никому не обещают и поэтому такие записи легко попадают в интернет.
Что в этом плохого:
Во-первых, сам Яндекс научился определять пользователя по голосу, а значит они знают, кто это говорил.
Во-вторых, сейчас активно развитиваеося технология биометрической идентификации пользователей, в том числе, по голосу. А это значит, что определить конкретного человека может не только Яндекс. Следовательно, нарушается неприкосновенность частность жизни.
Какой масштаб:
В нашем распоряжении несколько сотен записей обращения пользователей к Алисе.
Как в других странах:
Например, пользователи в США подавали в суд на Apple за подобные выкрутасы голосового помощника Siri.
Более подробно об утечке из Яндекс можно узнать из видео. В самом конце опубликованы примеры записей общения пользователей с умной колонкой Алиса. Очень рекомендуем к ознакомлению
Источник: https://t.me/internet_soprotivlenie
UPD уточнение: #comment_203461986
Для всех поклонников футбола Hisense подготовил крутой конкурс в соцсетях. Попытайте удачу, чтобы получить классный мерч и технику от глобального партнера чемпионата.
А если не любите полагаться на случай и сразу отправляетесь за техникой Hisense, не прячьте далеко чек. Загрузите на сайт и получите подписку на Wink на 3 месяца в подарок.
Реклама ООО «Горенье БТ», ИНН: 7704722037
В поисковой выдаче «Яндекса» снова оказались личные данные россиян. Достоянием общественности стали сканы паспортов, данные о банковских платежах, билеты на самолеты и поезда.
http://glavnoe24.ru/topics/2743
Новую утечку документов обнаружил один из пользователей, эксперт по работе с поисковыми системами Павел Медведев. Он рассказал, что с помощью поисковой системы «Яндекс» можно получить личные данные граждан с сайтов Сбербанка и ВТБ, департамента транспорта Москвы и агрегатора билетов Trip.com.
В «Яндексе» объяснили, что в открытом доступе оказались только те страницы, которые не запрещены при помощи специального файла. Чтобы содержимое тех или иных страниц сайта не индексировалось, принимать меры должен владелец сайта или вебмастер.
4 июля в поисковой выдаче «Яндекса» и других поисковиков появились документы пользователей сервиса Google Docs, содержащие приватную информацию. На это обратили внимание интернет-пользователи, которые по определенным запросам нашли немало интересных документов, хранившихся в незащищенном виде. В поле зрения журналистов и блогеров попали методички для бот-сетей, списки агитаторов на выборах, персональные данные избирателей и дискриминационные правила приема на работу.
Среди прочих обнаруженных в выдаче «Яндекса» файлах Google Docs, содержащих приватную информацию, оказались таблицы с данными проституток, контактами госслужащих, в том числе мэров, представителей силовых структур, руководителей администраций губернаторов. Говорят также, что в свободном доступе были сведения о готовящихся контрактах, тендерах и взятках, слухи и «сливы» в федеральные и региональные СМИ. Тогда эксперты уточнили, что в выдаче «Яндекса» появились документы из Google Docs, не защищенные настройками приватности.