海外メディアの報道によると、ロシア最大のITテクノロジー企業の1つであるヤンデックスでソースコードの漏洩が発生した。
Yandexのほぼすべてのソースコードが流出
元従業員が Yandex のソースコード リポジトリを漏洩し、Yandex が検索アルゴリズムで使用する 1,922 個のランキング要素を明らかにしたとされています。
現在、漏洩した Yandex ソース コード リポジトリは、人気のあるサイトにアップロードされています。ハッカーフォーラム上でBT torrentとして流出。
1月26日、リーカーは、2022年7月に同社から盗まれた44.7GBのファイルを含む「Yandex gitソース」であると主張するマグネットリンクを投稿した。コードリポジトリには、ルール外の同社のスパム対策ソースコードがすべて含まれているとされている。
ソフトウェアエンジニアのArseniy Shestakov氏は、流出したYandex Gitリポジトリを分析し、以下の製品に関する技術データとコードが含まれていると述べた。
Yandex 検索エンジンとインデックス作成ボット
ヤンデックスマップ
アリス(AIアシスタント)
ヤンデックスタクシー
Yandex Direct (広告サービス)
ヤンデックスメール
Yandex Disk(クラウドストレージサービス)
ヤンデックス マーケット
Yandex Travel (旅行予約プラットフォーム)
Yandex360 (ワークスペース サービス)
ヤンデックスクラウド
Yandex Pay(決済処理サービス)
Yandex Metrika (インターネット分析) の Shestakov 氏は、どのソース コードが盗まれたのか知りたい人のために、漏洩したファイルのディレクトリ リストを GitHub 上で共有しました。シェスタコフ氏は流出したデータについて、「少なくともいくつかのAPIキーは存在するが、おそらくテスト展開にのみ使用されただろう」と述べた。
Yandex、ハッキングを否定、ソースコード漏洩は元従業員のせい
Yandex は Bleeping Computer への声明で、自社のシステムはハッキングされておらず、元従業員がソースコード リポジトリを漏洩したと述べた。
「Yandexはハッキングされていませんでした。セキュリティサービスコード スニペットはパブリック ドメインの内部リポジトリから発見されましたが、内容は Yandex サービスで使用されているリポジトリの現在のバージョンとは異なります。
リポジトリは、コードを保存および使用するためのツールです。ほとんどの企業は、この方法でコードを内部で使用します。コード リポジトリの目的はコードを処理することであり、個人のユーザー データを保存することではありません。当社はソース コード スニペットを一般に公開した理由について内部調査を行っていますが、ユーザー データやプラットフォームのパフォーマンスに対する脅威は認識していません。 」 - ヤンデックス。
ハッカーにさらされるリスクの増加
Yandex の元上級システム管理者、開発副責任者、通信テクノロジー担当ディレクターのグリゴリー・バクノフ氏は、BleepingComputer への漏洩についてコメントし、2002 年から 2019 年までテクノロジー大手で働いていたため、漏洩したコードについてはよく知っていたと述べた。
バクノフ氏は次のように信じている。データ侵害動機は政治的なものであり、データ侵害を引き起こした「不正な」Yandex 従業員はコードを競合他社に販売しようとしたわけではありません。
元幹部は、漏洩には顧客データは含まれていなかったため、Yandexユーザーのプライバシーやセキュリティに直接的なリスクをもたらすものではなく、独自技術を直接脅かしたり漏洩したりするものではないと付け加えた。
「Yandex は『Arcadia』と呼ばれる単一のストレージ構造を使用していますが、同社のすべてのサービスがそれを使用しているわけではありません。さらに、標準の構築手順が適用されないため、サービスを構築するだけでも多くの社内ツールと専門知識が必要です。ストレージの漏洩ライブラリにはコードのみが含まれており、他の重要な部分はデータです。ニューラル ネットワークのモデルの重みなどの重要な部分が欠落しているため、ほとんど役に立ちません。それでも、「blacklist.txt」のような名前の「興味深い」ファイルがたくさんあります。 「実行中のサービスが公開される可能性があります。」
ただし、バクノフ氏は、漏洩したコードにより、ハッカーがセキュリティの脆弱性を特定し、標的を絞ったエクスプロイトを実行できるようになることも思い出させた。さて、それは時間の問題です。
元幹部はまた、Yandexの声明についてコメントし、流出したコードは同社の業務サービスで使用されている現在のコードと同じではない可能性があるが、類似性は90%ほど高い可能性があると述べた。したがって、漏洩したコードを徹底的に調査した後、悪意のあるハッカーは Yandex システム内に悪用可能なギャップを見つける可能性があります。
元記事はSnowFlakeによるもの。転載の際は、https://cncso.com/jp/yandexソースコード流出-html。