По сообщениям зарубежных СМИ, утечка исходного кода произошла в Яндексе, одной из крупнейших российских компаний в сфере IT-технологий.
Почти весь исходный код Яндекса утек в сеть
Бывший сотрудник якобы опубликовал хранилище исходного кода Яндекса, в котором были обнаружены 1922 фактора ранжирования, которые Яндекс использует в своем алгоритме поиска.
В настоящее время утекший репозиторий исходного кода Яндекса выложен на популярныйхакерСлил как БТ торрент на форум.
26 января инсайдер разместил магнитную ссылку под названием «Источники git Яндекса», содержащую 44,7 ГБ файлов, украденных у компании в июле 2022 года. В репозиториях кода предположительно содержится антиспамовый исходный код компании «Весь исходный код вне правил».
Инженер-программист Арсений Шестаков проанализировал утекший репозиторий Яндекса Git и сказал, что он содержит технические данные и код следующих продуктов:
Поисковая система Яндекс и индексирующий бот
Яндекс Карты
Алиса (помощник ИИ)
Яндекс Такси
Яндекс Директ (сервис рекламы)
Яндекс Почта
Яндекс Диск (сервис облачного хранения данных)
Яндекс Маркет
Яндекс Трэвел (платформа бронирования путешествий)
Яндекс360 (сервис рабочих пространств)
Яндекс Облако
Яндекс Pay (сервис обработки платежей)
Яндекс Метрика (интернет-аналитика) Шестаков также поделился списком каталогов слитых файлов на GitHub для тех, кто хочет увидеть, какой исходный код был украден. «По крайней мере, некоторые API-ключи есть, но они, вероятно, использовались только для тестовых развертываний», — сказал Шестаков об утечке данных.
«Яндекс» отрицает взлом и винит в утечке исходного кода бывшего сотрудника
В заявлении Bleeping Computer представители Яндекса заявили, что их системы не были взломаны и что бывший сотрудник слил репозиторий исходного кода.
«Яндекс не взломали.охранные услугиОбнаружен фрагмент кода из внутреннего репозитория в открытом доступе, но его содержимое отличается от текущей версии репозитория, используемого в сервисе Яндекс.
Репозитории — это инструменты для хранения и использования кода. Большинство компаний используют код таким образом. Целью репозитория кода является обработка кода, а не хранение личных данных пользователя. Мы проводим внутреннее расследование причин обнародования фрагмента исходного кода, но нам не известно о какой-либо угрозе пользовательским данным или производительности платформы. — Яндекс.
Увеличение риска воздействия хакеров
Комментируя утечку BleepingComputer, Григорий Бакунов, бывший старший системный администратор, заместитель руководителя по развитию и директор по коммуникационным технологиям «Яндекса», сказал, что он хорошо знаком с утекшим кодом, поскольку работал в технологическом гиганте с 2002 по 2019 год.
Бакунов считает, чтоданные нарушенияМотивация была политической, и «недобросовестный» сотрудник «Яндекса», вызвавший утечку данных, не пытался продать код конкуренту.
Бывший руководитель добавил, что утечка не включала никаких данных о клиентах и, следовательно, не представляла прямого риска для конфиденциальности или безопасности пользователей Яндекса, а также не угрожала напрямую и не разглашала запатентованные технологии.
«Яндекс» использует единую структуру хранилища под названием «Аркадия», но не все сервисы компании ее используют. Кроме того, даже простое создание сервиса требует множества внутренних инструментов и опыта, поскольку стандартные процедуры сборки неприменимы. Утечка хранилища библиотека содержит только код; другая важная часть — это данные. Ключевые части, такие как веса модели нейронной сети, отсутствуют, поэтому от них мало пользы. Тем не менее, есть много «интересных» файлов с именами типа «blacklist.txt». «Это может привести к раскрытию работающих служб».
Однако Бакунов также напомнил, что утечка кода позволяет хакерам выявлять уязвимости безопасности и реализовывать целевые эксплойты. Теперь это всего лишь вопрос времени.
Бывший руководитель также прокомментировал заявление Яндекса, заявив, что утекший код может не совпадать с текущим кодом, используемым в рабочем сервисе компании, но сходство может достигать 90%. Таким образом, после тщательного изучения утекшего кода злоумышленники, скорее всего, найдут уязвимые бреши в системе Яндекса.
原创文章,作者:SnowFlake,如若转载,请注明出处:https://cncso.com/ru/утечка-исходного-кода-яндекса-html
