1 月 28 日,据外媒报道,俄罗斯最大的 IT 科技公司之一 Yandex 发生了源代码泄露事故。
Yandex 几乎所有源代码泄露
据称,一名前雇员泄露了 Yandex 的源代码存储库,其中泄露了 Yandex 在其搜索算法中使用的 1,922 个排名因素。
目前,被泄露的 Yandex 源代码存储库已在一个流行的黑客论坛上以 BT 种子的形式泄露。
1 月 26 日,泄密者发布了一个磁力链接,声称这是““Yandex git sources”,其中包含 2022 年 7 月从公司窃取的 44.7 GB 文件。据称,这些代码存储库包含公司除反垃圾邮件规则之外的所有源代码。
软件工程师 Arseniy Shestakov 分析了泄露的 Yandex Git 存储库 ,并表示其中包含有关以下产品的技术数据和代码:
Yandex search engine and indexing bot
Yandex Maps
Alice (AI assistant)
Yandex Taxi
Yandex Direct (ads service)
Yandex Mail
Yandex Disk (cloud storage service)
Yandex Market
Yandex Travel (travel booking platform)
Yandex360 (workspaces service)
Yandex Cloud
Yandex Pay (payment processing service)
Yandex Metrika (internet analytics)Shestakov 还在 GitHub 上分享了 泄露文件的目录列表, 供那些想查看哪些源代码被盗的人使用。“至少有一些 API 密钥,但它们可能仅用于测试部署,”Shestakov 谈到泄露的数据时说。
Yandex 否认黑客入侵,将源代码泄露归咎于前员工
在给Bleeping Computer 的一份声明中,Yandex 表示他们的系统没有被黑客入侵,一名前雇员泄露了源代码存储库。
“Yandex 没有被黑。我们的安全服务从公共领域的内部存储库中发现了代码片段,但内容与 Yandex 服务中使用的存储库的当前版本不同。
存储库是用于存储和使用代码的工具。大多数公司在内部通过这种方式使用代码。代码仓库的作用是处理代码,而非存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查,但我们没有发现对用户数据或平台性能有任何威胁。”- Yandex。
增加黑客暴露风险
Yandex 前高级系统管理员、开发副主管兼传播技术总监Grigory Bakunov向 BleepingComputer 评论此次泄密事件表示 ,他对泄露的代码非常熟悉,他曾在 2002 年至 2019 年期间在这家科技巨头工作。
Bakunov认为,数据泄露的动机是政治性的,导致数据泄露的“流氓” Yandex 员工并未试图将代码出售给竞争对手。
这位前高管补充说,泄露不包含任何客户数据,因此不会对 Yandex 用户的隐私或安全构成直接风险,也不会直接威胁和泄露专有技术。
“Yandex 使用名为‘Arcadia’的单一存储结构,但并非公司的所有服务都使用它。此外,即使只是构建服务,也需要大量内部工具和专业知识,因为标准构建程序并不适用。泄露的存储库仅包含代码;另一个重要部分是数据。神经网络的模型权重等关键部分都没有,所以几乎没有用。尽管如此,仍有许多‘有趣’的文件,其名称如“blacklist.txt”可能会暴露正在运行的服务。”
不过 Bakunov 也提醒,泄露的代码使黑客有可能识别安全漏洞并实施有针对性的漏洞利用活动。现在,这只是时间问题。
这位前高管还评论了 Yandex 的声明,称泄露的代码可能与公司工作服务中使用的当前代码不相同,但相似度可能高达 90%。因此,对泄露代码开展全面检查后,恶意黑客很可能会从 Yandex 系统中发现可供利用的缺口。
评论 2 条评论