44.7GB!遭前雇员“叛变”,俄版百度Yandex几乎所有源代码泄露
作者 刘燕
1月28日,据外媒报道,俄罗斯最大的IT科技公司之一Yandex发生了源代码泄露事故。
Yandex几乎所有源代码泄露
据称,一名前雇员泄露了Yandex的源代码存储库,其中泄露了Yandex在其搜索算法中使用的1,922个排名因素。
目前,被泄露的Yandex源代码存储库已在一个流行的黑客论坛上以BT种子的形式泄露。
1月26日,泄密者发布了一个磁力链接,声称这是““Yandex git sources”,其中包含2022年7月从公司窃取的44.7GB文件。据称,这些代码存储库包含公司除反垃圾邮件规则之外的所有源代码。
软件工程师Arseniy Shestakov分析了泄露的Yandex Git存储库,并表示其中包含有关以下产品的技术数据和代码:
·Yandex search engine and indexing bot
·Yandex Maps
·Alice (AI assistant)
·Yandex Taxi
·Yandex Direct (ads service)
·Yandex Mail
·Yandex Disk (cloud storage service)
·Yandex Market
·Yandex Travel (travel booking platform)
·Yandex360 (workspaces service)
·Yandex Cloud
·Yandex Pay (payment processing service)
·Yandex Metrika (internet analytics)Shestakov还在GitHub上分享了泄露文件的目录列表,供那些想查看哪些源代码被盗的人使用。“至少有一些API密钥,但它们可能仅用于测试部署,”Shestakov谈到泄露的数据时说。
Yandex否认黑客入侵,将源代码泄露归咎于前员工
在给Bleeping Computer的一份声明中,Yandex表示他们的系统没有被黑客入侵,一名前雇员泄露了源代码存储库。
“Yandex没有被黑。我们的安全服务从公共领域的内部存储库中发现了代码片段,但内容与Yandex服务中使用的存储库的当前版本不同。
存储库是用于存储和使用代码的工具。大多数公司在内部通过这种方式使用代码。代码仓库的作用是处理代码,而非存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查,但我们没有发现对用户数据或平台性能有任何威胁。”-Yandex。
增加黑客暴露风险
Yandex前高级系统管理员、开发副主管兼传播技术总监Grigory Bakunov向Bleep ingComputer评论此次泄密事件表示,他对泄露的代码非常熟悉,他曾在2002年至2019年期间在这家科技巨头工作。
Bakunov认为,数据泄露的动机是政治性的,导致数据泄露的“流氓”Yandex员工并未试图将代码出售给竞争对手。
这位前高管补充说,泄露不包含任何客户数据,因此不会对Yandex用户的隐私或安全构成直接风险,也不会直接威胁和泄露专有技术。
“Yandex使用名为‘Arcadia’的单一存储结构,但并非公司的所有服务都使用它。此外,即使只是构建服务,也需要大量内部工具和专业知识,因为标准构建程序并不适用。泄露的存储库仅包含代码;另一个重要部分是数据。神经网络的模型权重等关键部分都没有,所以几乎没有用。尽管如此,仍有许多‘有趣’的文件,其名称如“blacklist.txt”可能会暴露正在运行的服务。”
不过Bakunov也提醒,泄露的代码使黑客有可能识别安全漏洞并实施有针对性的漏洞利用活动。现在,这只是时间问题。
这位前高管还评论了Yandex的声明,称泄露的代码可能与公司工作服务中使用的当前代码不相同,但相似度可能高达90%。因此,对泄露代码开展全面检查后,恶意黑客很可能会从Yandex系统中发现可供利用的缺口。