根據外媒報道,俄羅斯最大的IT 科技公司之一Yandex 發生了原始碼外洩事故。
Yandex 幾乎所有原始碼洩露
據稱,一名前僱員洩露了Yandex 的源代碼存儲庫,其中洩露了Yandex 在其搜尋演算法中使用的1,922 個排名因素。
目前,被洩露的Yandex 原始碼儲存庫已在一個流行的駭客論壇上以BT 種子的形式洩漏。
1 月26 日,洩密者發布了一個磁力鏈接,聲稱這是““Yandex git sources”,其中包含2022 年7 月從公司竊取的44.7 GB 文件。據稱,這些代碼存儲庫包含公司除反垃圾郵件規則之外的所有原始碼。
軟體工程師Arseniy Shestakov 分析了洩漏的Yandex Git 儲存庫,並表示其中包含有關以下產品的技術資料和程式碼:
Yandex search engine and indexing bot
Yandex Maps
Alice (AI assistant)
Yandex Taxi
Yandex Direct (ads service)
Yandex Mail
Yandex Disk (cloud storage service)
Yandex Market
Yandex Travel (travel booking platform)
Yandex360 (workspaces service)
Yandex Cloud
Yandex Pay (payment processing service)
Yandex Metrika (internet analytics)Shestakov 也在GitHub 上分享了洩漏檔案的目錄列表, 供那些想查看哪些原始程式碼被盜的人使用。 「至少有一些API 金鑰,但它們可能僅用於測試部署,」Shestakov 談到洩漏的資料時說。
Yandex 否認駭客入侵,將原始碼外洩歸咎於前員工
在給Bleeping Computer 的聲明中,Yandex 表示他們的系統沒有被駭客入侵,一名前員工洩漏了原始碼儲存庫。
「Yandex 沒有被駭。我們的安全服務從公共領域的內部儲存庫中發現了程式碼片段,但內容與Yandex 服務中使用的儲存庫的當前版本不同。
儲存庫是用於儲存和使用程式碼的工具。大多數公司在內部以這種方式使用代碼。程式碼倉庫的作用是處理程式碼,而非儲存個人使用者資料。我們正在對向公眾發布原始程式碼片段的原因進行內部調查,但我們沒有發現對用戶資料或平台效能有任何威脅。 ”- Yandex。
增加駭客暴露風險
Yandex 前高級系統管理員、開發副主管兼傳播技術總監Grigory Bakunov向BleepingComputer 評論此次洩密事件表示,他對洩漏的程式碼非常熟悉,他曾在2002 年至2019 年期間在這家科技巨頭工作。
Bakunov認為,資料外洩的動機是政治性的,導致資料外洩的「流氓」 Yandex 員工並未試圖將程式碼出售給競爭對手。
這位前高層補充說,洩漏不包含任何客戶數據,因此不會對Yandex 用戶的隱私或安全構成直接風險,也不會直接威脅和洩漏專有技術。
「Yandex 使用名為'Arcadia'的單一存儲結構,但並非公司的所有服務都使用它。此外,即使只是構建服務,也需要大量內部工具和專業知識,因為標準構建程序並不適用。洩露的存儲庫只包含程式碼;另一個重要部分是資料。神經網路的模型權重等關鍵部分都沒有,所以幾乎沒有用。儘管如此,仍有許多'有趣'的文件,其名稱如“blacklist.txt”可能會暴露正在運行的服務。”
不過Bakunov 也提醒,洩漏的程式碼讓駭客有可能辨識安全漏洞並實施有針對性的漏洞利用活動。現在,這只是時間問題。
這位前高管也評論了Yandex 的聲明,稱洩漏的代碼可能與公司工作服務中使用的當前代碼不相同,但相似度可能高達90%。因此,在對洩漏程式碼進行全面檢查後,惡意駭客很可能會從Yandex 系統中發現可供利用的缺口。
原文文章,作者:SnowFlake,如若轉載,請註明出處:https://cncso.com/tw/yandex-source-code-leak.html
