俄羅斯最大的IT科技公司之一Yandex的源代碼倉(cāng)庫(kù)據(jù)傳遭到前員工竊取，相關(guān)數(shù)據(jù)已在某個(gè)流行黑客論壇上以BT種子形式泄露。

1月25日，泄密者發(fā)布了一個(gè)磁力鏈接，他們聲稱這是“Yandex git 源”，其中包含 2022 年 7 月從公司竊取的 44.7 GB 文件。據(jù)稱，這些代碼存儲(chǔ)庫(kù)包含公司除反垃圾郵件規(guī)則之外的所有源代碼。

軟件工程師 Arseniy Shestakov 分析了泄露的 Yandex Git 存儲(chǔ)庫(kù) ，并表示其中包含有關(guān)以下產(chǎn)品的技術(shù)數(shù)據(jù)和代碼：

• Yandex 搜索引擎和索引機(jī)器人
• Yandex 地圖
• 愛(ài)麗絲（人工智能助理）
• Yandex 出租車(chē)
• Yandex Direct（廣告服務(wù)）
• Yandex 郵件
• Yandex Disk（云存儲(chǔ)服務(wù)）
• Yandex 市場(chǎng)
• Yandex Travel（旅游預(yù)訂平臺(tái)）
• Yandex360（工作區(qū)服務(wù)）
• Yandex 云
• Yandex Pay（支付處理服務(wù)）
• Yandex Metrika（互聯(lián)網(wǎng)分析）

Shestakov 還在 GitHub 上分享了 泄露文件的目錄列表， 供那些想查看哪些源代碼被盜的人使用。

“至少有一些 API 密鑰，但它們可能僅用于測(cè)試部署，”Shestakov 談到泄露的數(shù)據(jù)時(shí)說(shuō)。

在一份給媒體的聲明中，Yandex 表示他們的系統(tǒng)沒(méi)有被黑客入侵，一名前雇員泄露了源代碼存儲(chǔ)庫(kù)。

“Yandex 沒(méi)有被黑。我們的安全服務(wù)從公共領(lǐng)域的內(nèi)部存儲(chǔ)庫(kù)中發(fā)現(xiàn)了代碼片段，但內(nèi)容與 Yandex 服務(wù)中使用的存儲(chǔ)庫(kù)的當(dāng)前版本不同。

存儲(chǔ)庫(kù)是用于存儲(chǔ)和使用代碼的工具。大多數(shù)公司在內(nèi)部以這種方式使用代碼。

需要存儲(chǔ)庫(kù)來(lái)處理代碼，而不是用于存儲(chǔ)個(gè)人用戶數(shù)據(jù)。我們正在對(duì)向公眾發(fā)布源代碼片段的原因進(jìn)行內(nèi)部調(diào)查，但我們沒(méi)有發(fā)現(xiàn)任何對(duì)用戶數(shù)據(jù)或平臺(tái)性能的威脅。”- Yandex。

數(shù)據(jù)泄露的動(dòng)機(jī)是政治性的

記者 還與 Yandex前高級(jí)系統(tǒng)管理員、開(kāi)發(fā)副主管兼?zhèn)鞑ゼ夹g(shù)總監(jiān)Grigory Bakunov討論了此次泄密事件 。他對(duì)泄露的代碼非常熟悉，曾在 2002 年至 2019 年期間在這家科技巨頭工作。

巴庫(kù)諾夫解釋說(shuō)，數(shù)據(jù)泄露的動(dòng)機(jī)是政治性的，負(fù)責(zé)數(shù)據(jù)泄露的 Yandex 員工并未試圖將代碼出售給競(jìng)爭(zhēng)對(duì)手。

這位前高管補(bǔ)充說(shuō)，泄漏不包含任何客戶數(shù)據(jù)，因此不會(huì)對(duì) Yandex 用戶的隱私或安全構(gòu)成直接風(fēng)險(xiǎn)，也不會(huì)直接威脅泄漏專有技術(shù)。

Yandex 使用名為“Arcadia”的單一存儲(chǔ)結(jié)構(gòu)，但并非公司的所有服務(wù)都使用它。此外，即使只是構(gòu)建服務(wù)，您也需要大量?jī)?nèi)部工具和專業(yè)知識(shí)，因?yàn)闃?biāo)準(zhǔn)構(gòu)建程序并不適用。

泄漏的存儲(chǔ)庫(kù)僅包含代碼；另一個(gè)重要部分是數(shù)據(jù)。神經(jīng)網(wǎng)絡(luò)的模型權(quán)重等關(guān)鍵部分都沒(méi)有，所以幾乎沒(méi)有用。

盡管如此，仍有許多有趣的文件，其名稱如“blacklist.txt”可能會(huì)暴露正在運(yùn)行的服務(wù)。

然而，Bakunov 告訴記者，泄露的代碼使黑客有可能識(shí)別安全漏洞并創(chuàng)建有針對(duì)性的漏洞利用。巴庫(kù)諾夫認(rèn)為，現(xiàn)在這只是時(shí)間問(wèn)題。

這位前高管還評(píng)論了 Yandex 的回應(yīng)，稱泄露的代碼可能與公司工作服務(wù)中使用的當(dāng)前代碼不相同，但相似度可能高達(dá) 90%。

因此，對(duì)泄露代碼開(kāi)展全面檢查之后，惡意黑客很可能會(huì)從Yandex系統(tǒng)中發(fā)現(xiàn)可供利用的缺口。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/