31 января 2023, 17:20
«Яндекс» признал, что в бета-версии «Алиса» умела тайно включать микрофон и подслушивать пользователей
В «Яндексе» признали утечку кода, который позволял тайно прослушивать микрофон пользователей «Алисы». Ранее хакеры выложили в сеть более 40 Гигабайт кода разных сервисов и программ. Каждый файл датировался днём начала войны. На публикацию обратили внимание в The Moscow Times.
«На прошлой неделе в открытом доступе были обнаружены фрагменты программного кода некоторых сервисов Яндекса. Мы продолжаем внутреннее расследование инцидента и считаем важным поделиться первыми результатами. Опубликованные фрагменты действительно взяты из нашего внутреннего репозитория <..> При этом содержимое архива соответствует устаревшей версии репозитория — она отличается от актуальной», — сообщили в компании.
Сообщается, что также в коде можно было обнаружить «контактные данные некоторых партнёров», в том числе водителей. Там также признали наличие в коде признаков «приоритетной поддержки для отдельных групп пользователей» в некоторых сервисах и использование «оскорбительных для людей разных рас и национальностей» слов.
Более того, в компании признали, что в сеть попал код их голосового ассистента, который позволял прослушивать пользователей, «включая микрофон устройства на несколько секунд в случайный момент без упоминания Алисы». Сотрудники подчекрнули, что это нужно было для «улучшения качества» и избавления от «ложных срабатываний», а использовалось исключительно «внутри Яндекса для проверки корректности работы».
«Важно отметить, что опубликованные фрагменты кода содержат в том числе и тестовые алгоритмы, которые использовались только внутри Яндекса для проверки корректности работы сервисов. Например, для улучшения качества активации ассистента и уменьшения количества ложных срабатываний в бета-версии для сотрудников применяется настройка, которая включает микрофон устройства на несколько секунд в случайный момент без упоминания Алисы», — написали в компании.
В компании заявили, что их работа всё ещё «строится на принципах честности и прозрачности». Там также сказали, что им «очень стыдно», извинились перед пользователями и пообещали исправить «все фрагменты кода, которые противоречат» принципам техноэтики.
Об утечке кода стало известно 25 января. Пользователь одного из форумов выложил в сеть 44,7 Гигабайт архивов с исходным кодом и данными ряда сервисов и программ «Яндекса». В компании подтвердили для Habr подлинность фрагментов, но заявили, что «никакого взлома “Яндекса” не было» и что файлы обнаружила Служба безопасности самой фирмы.
Специалисты в области кибербезопасности и программирования тут же начали анализировать полученные данные. Отмечалось, что все файлы датируются 24 февраля 2022 года — днём начала войны в Украине.
Некоторые пользователи обратили внимание на странные названия папок и модулей, вроде «упс», «бегемот» и «кокаин». Другие утверждали, что обнаружили фрагменты кода, которые позволяли проводить «разметку данных» из личных писем, а также анализировать подписки на онлайн-сервисы и приходящие на «Яндекс.Почту» чеки. Специалисты предположили, что таким образом фирма «мониторит конкурентов по рынку».
Весной в открытом доступе лежат персональные данные пользователей Яндекс.Еды. В Интернете сразу появилась карта, которая позволяла дополнять информацию из утечки другой информацией и собирать метаданные на пользователей сервиса по всей России. За это фирму обязали выплатить всего 60 тысяч рублей штрафа.
Недавно в СПЧ и Госдуме предложили сажать в тюрьму виновников утечек персональных данных. В Минцифры заявили, что собираются создать фонд выплат для жертв утечек данных.