导读:Yandex是俄国的第一搜索引擎(https://yandex.ru/)。
据称这批源代码,为Yandex前员工在2022年7月从公司窃取,总计44.7GB,包含了该公司除反垃圾邮件规则之外的全部源代码;
Yandex原技术负责人分析,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手;
泄露内容不包含任何客户数据,因此不会对用户隐私或安全构成直接风险,也不会导致专有技术外流,但增加了黑客暴露的风险。
据 1月28日相关消息,俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,相关数据已在某个流行黑客论坛上以BT种子形式泄露。1月25日,泄密者公开发布了一条磁力链接,宣称这是“Yandex git sources”,包含了2022年7月从Yandex公司窃取的44.7 GB文件,而这批数据包含了该公司除反垃圾邮件规则之外的全部源代码。软件工程师Arseniy Shestakov分析了泄露的Yandex Git代码仓库,并表示其中包含关于以下产品的技术数据和代码:Shestakov还在GitHub上共享了泄露文件的目录列表,感兴趣的读者可以具体查看有哪些源代码遭到窃取。
http://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989“其中至少包含部分API密钥,但它们可能仅用于测试部署。”Shestakov在谈到泄露数据时说。Yandex官方给媒体的声明中表示,他们的系统并未遭受黑客入侵,泄露源代码仓库的是一名前公司雇员。“Yandex并未遭受黑客入侵。我们的安全服务从公共域的内部仓库中发现了代码片段,但内容与Yandex服务中的当前代码仓库版本不同。代码仓库是用于存储和使用代码的工具。大多数公司都通过这种内部仓库的方式使用代码。代码仓库的作用在于处理代码,而非存储个人用户数据。我们正对源代码片段外泄的原因开展内部调查,但并未发现用户数据或平台性能面临任何威胁。”
媒体BleepingComputer与Yandex公司前高级系统管理员、开发副主管兼技术传播总监Grigory Bakunov讨论了此次泄露事件。Bakunov对泄露的代码内容非常熟悉,曾在2002年至2019年期间在这家俄罗斯科技巨头工作。
Bakunov解释称,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手。这位前高管补充道,泄露内容不包含任何客户数据,因此不会对Yandex用户的隐私或安全构成直接风险,并不会导致专有技术外流。Yandex使用了名为“Arcadia”的单一仓库结构,但也有一部分服务不使用该结构。此外,即使只是构建服务,也需要大量内部工具和专业知识,因为这个并不适用标准构建程序。泄露的代码仓库仅包含代码内容,另一重要部分数据并不在其中。神经网络的模型权重等关键信息也都没有,所以几乎无法实际使用。尽管如此,仍有许多有趣的文件,比如“blacklist.txt”文件可能会暴露正在运行的服务。
但Bakunov在采访中证实,黑客确实有可能通过泄露代码发现安全漏洞,并实施有针对性的漏洞利用行为。Bakunov认为这类状况的发生将只是时间问题。这位前高管也评论了Yandex的官方回应,称泄露代码虽然可能跟当前工作服务中的代码版本不尽相同,但相似度也许高达90%。因此,对泄露代码开展全面检测之后,恶意的黑客很可能会从Yandex系统中发现可供利用的缺口。
参考:
https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/
