本文經(jīng)AI新媒體量子位（公眾號(hào)ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)聯(lián)系出處。

俄羅斯第一大科技巨頭，這回遇上了大麻煩：

44.7GB源代碼，全被泄露到了網(wǎng)上。

什么概念？

就是這家名為Yandex的公司，幾乎所有主要服務(wù)的源代碼都被挖了個(gè)底掉……

要知道，在俄羅斯，Yandex不僅干著搜索引擎的活兒，還把俄國(guó)老百姓購(gòu)物、打車、訂外賣、租車這一連串生活服務(wù)都給包圓了。

簡(jiǎn)單來(lái)說(shuō)，約等于俄版百度+淘寶+美團(tuán)+滴滴。

這么大個(gè)事兒，自然引起了全世界網(wǎng)友的圍觀。

但就在眾人紛紛猜測(cè)這又是哪家黑客手筆之際，Yandex的聲明卻有些令人大跌眼鏡：

我們沒(méi)有被黑，就是被前員工給賣了……

44.7GB源代碼遭泄露，代碼被扒了個(gè)底朝天

具體來(lái)說(shuō)，泄密鏈接最早出現(xiàn)在了一個(gè)黑客論壇上。

泄密者稱，這份44.7GB的Yandex代碼庫(kù)，包含該公司2022年7月以前，除反垃圾郵件規(guī)則之外的所有源代碼。

這些被泄露出來(lái)的代碼信息量到底有多大？

看看網(wǎng)友們熱火朝天扒出來(lái)的細(xì)節(jié)就知道了……

Yandex不是以搜索引擎起家，常被稱作“俄版百度”/“俄版谷歌”嘛，那就先以搜索引擎部分的代碼為例。

一位名叫Alex Buraks的老哥就深扒了下Yandex搜索引擎的排名規(guī)則，還戲稱這對(duì)理解谷歌SEO（搜索引擎優(yōu)化）有很多有用的信息。

畢竟Yandex和谷歌的搜索結(jié)果有70%的匹配度，不少人認(rèn)為其搜索技術(shù)用的就是谷歌同款：如PageRank、BERT等。

（掌握了Yandex的規(guī)則不就相當(dāng)于透了谷歌排名算法的家底，手動(dòng)狗頭）

目前已經(jīng)有大批吃瓜群眾來(lái)圍觀，甚至Alex Buraks的這條線程曾在谷歌搜索“yandex”中排名第8。

有趣的是，在Yandex的排名因素中，排在第一個(gè)的就是PageRank。

Buraks還直接列出了Yandex的10個(gè)排名因素：

（1）鏈接的創(chuàng)建時(shí)間；（2）流量和有機(jī)流量的百分比；（3）URL中的數(shù)字不利于排名；（4）URL中的斜杠不利于排名；（5）負(fù)面情緒過(guò)重的PageRank=0；（6）主機(jī)可靠性；（7）“維基百科”還單獨(dú)列了一個(gè)因素；（8）用戶行為：點(diǎn)擊率，跳出率等；（9）文件年齡與上次更新日期；（10）所有查詢域名的平均位置……

當(dāng)然這還只是其中的一部分，Buraks表示后續(xù)還會(huì)繼續(xù)分析。

除了Alex Buraks，也有不少營(yíng)銷大師深扒了Yandex的排名因素，甚至有人都詳細(xì)整理出了完整的1900+個(gè)排名因素。

值得一提的是，在各路大神扒代碼的過(guò)程中，Yandex搜索引擎的一些“潛規(guī)則”也被擺上了臺(tái)面。

就比如說(shuō)加拿大黑客Aubrey Cottle就在代碼中發(fā)現(xiàn)了Yandex是容忍種族歧視的。

還有網(wǎng)友在代碼中發(fā)現(xiàn)，Yandex的廣告投放中，普通廣告和色情廣告是分開(kāi)計(jì)算的。

官方聲明：沒(méi)有被黑，是前員工泄密

這事兒一出，很快還有一份詳細(xì)的泄密文件目錄被整理出來(lái)放在了GitHub上。

作者是一位名叫Arseniy Shestakov的軟件工程師。據(jù)他評(píng)估，這些源代碼確實(shí)涉及了Yandex的所有主要服務(wù)。

包括：

• 搜索引擎和索引機(jī)器人
• 地圖服務(wù)
• AI語(yǔ)音助手
• 打車服務(wù)
• 廣告服務(wù)
• 郵件服務(wù)
• 存儲(chǔ)服務(wù)（類似百度網(wǎng)盤）
• 電商服務(wù)（類似淘寶）
• 旅游服務(wù)
• 云服務(wù)

還包括在線協(xié)同辦公、支付、數(shù)據(jù)分析等等業(yè)務(wù)。

不過(guò)，泄露內(nèi)容并不包括用戶數(shù)據(jù)等敏感信息。

Arseniy Shestakov總結(jié)了幾個(gè)關(guān)鍵細(xì)節(jié)：

• 泄露出來(lái)的主要是git存儲(chǔ)庫(kù)里的源代碼，不包含git歷史記錄
• 所有文件日期均可追溯至2022年2月24日
• 大部分軟件都沒(méi)有預(yù)先編譯好，只有少數(shù)例外
• 除了一些例外，沒(méi)有預(yù)先訓(xùn)練好的機(jī)器學(xué)習(xí)模型

△Yandex辦公樓

事情鬧得這么大，Yandex官方也坐不住了，很快發(fā)表聲明表示：其實(shí)我們并沒(méi)有被黑，是前員工出賣了我們！

Yandex沒(méi)有被黑。我們?cè)诠差I(lǐng)域發(fā)現(xiàn)了泄露自內(nèi)部存儲(chǔ)庫(kù)的代碼片段，但其內(nèi)容與Yandex當(dāng)前使用的代碼版本并不相同。

存儲(chǔ)庫(kù)是用來(lái)存儲(chǔ)和處理代碼的工具。大多數(shù)公司都采用這種方式來(lái)使用代碼。

代碼庫(kù)并未存儲(chǔ)個(gè)人用戶數(shù)據(jù)。

我們正在進(jìn)行內(nèi)部調(diào)查，但并沒(méi)有發(fā)現(xiàn)該事件給用戶數(shù)據(jù)和平臺(tái)性能帶來(lái)了任何威脅。

Yandex倒是信誓旦旦，但外部的專業(yè)人士卻有不同看法。

據(jù)bleepingcomputer消息，前Yandex技術(shù)專家Grigory Bakunov對(duì)此事做出了回應(yīng)。

他認(rèn)為，這次代碼泄露確實(shí)不會(huì)對(duì)用戶的隱私或安全構(gòu)成直接風(fēng)險(xiǎn)，也不會(huì)直接威脅到Y(jié)andex的專有技術(shù)。

不過(guò)一些文件仍可能會(huì)暴露正在運(yùn)行的服務(wù)，比如說(shuō)“blacklist.txt”，Bakunov還稱：

盡管泄密的部分不涉及敏感數(shù)據(jù)，但黑客針對(duì)性利用代碼中的安全漏洞，只是時(shí)間問(wèn)題；

（BTW）雖然Yandex官方回應(yīng)泄露的代碼與公司工作服務(wù)中使用的當(dāng)前代碼不同，但相似度可能高達(dá)90%。

泄露代碼目錄：https://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989