突發!俄羅斯科技巨頭Yandex內部源代碼全部泄露
- 這批據稱為Yandex前員工2022年7月從公司竊取,總計44.7GB,包含了該公司除反垃圾郵件規則之外的全部源代碼;
- Yandex前技術主管分析,此次數據泄露的動機與政治有關,竊取數據的這位惡意員工并未試圖將代碼出售給商業競爭對手;
- 泄露內容不包含任何客戶數據,因此不會對用戶隱私或安全構成直接風險,也不會導致專有技術外流,但增加了黑客暴露風險。
1月28日消息,俄羅斯最大的IT科技公司之一Yandex的源代碼倉庫據傳遭到前員工竊取,相關數據已在某個流行黑客論壇上以BT種子形式泄露。
1月25日,泄密者公開發布了一條磁力鏈接,宣稱這是“Yandex git sources”,包含了2022年7月從Yandex公司竊取的44.7 GB文件。據稱,這批數據包含了該公司除反垃圾郵件規則之外的全部源代碼。
圖:泄露在黑客論壇上的Yandex代碼倉庫
軟件工程師Arseniy Shestakov分析了泄露的Yandex Git代碼倉庫,并表示其中包含關于以下產品的技術數據和代碼:
- Yandex搜索引擎與索引機器人
- Yandex Maps
- Alice (AI助手)
- Yandex Taxi
- Yandex Direct (廣告服務)
- Yandex Mail
- Yandex Disk (云存儲服務)
- Yandex Market
- Yandex Travel (旅游預訂平臺)
- Yandex360 (辦公服務)
- Yandex Cloud
- Yandex Pay (支付處理服務)
- Yandex Metrika (互聯網分析)
Shestakov還在GitHub上共享了泄露文件的目錄列表,感興趣的讀者可以具體查看有哪些源代碼遭到竊取。
(http://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989)
“其中至少包含部分API密鑰,但它們可能僅用于測試部署。”Shestakov在談到泄露數據時說。
Yandex官方給外媒的聲明中表示,他們的系統并未遭受黑客入侵,泄露源代碼倉庫的是一名前雇員。
“Yandex并未遭受黑客入侵。我們的安全服務從公共域的內部倉庫中發現了代碼片段,但內容與Yandex服務中的當前代碼倉庫版本不同。
代碼倉庫是用于存儲和使用代碼的工具。大多數公司都通過這種內部倉庫的方式使用代碼。
代碼倉庫的作用在于處理代碼,而非存儲個人用戶數據。我們正對源代碼片段外泄的原因開展內部調查,但并未發現用戶數據或平臺性能面臨任何威脅。”
——Yandex公司
源代碼泄露將內部架構暴露于黑客
外媒BleepingComputer與Yandex公司前高級系統管理員、開發副主管兼技術傳播總監Grigory Bakunov討論了此次泄露事件。Bakunov對泄露的代碼內容非常熟悉,曾在2002年至2019年期間在這家俄羅斯科技巨頭工作。
Bakunov解釋稱,此次數據泄露的動機與政治有關,竊取數據的這位惡意員工并未試圖將代碼出售給商業競爭對手。
這位前高管補充道,泄露內容不包含任何客戶數據,因此不會對Yandex用戶的隱私或安全構成直接風險,也不會導致專有技術外流。
Yandex使用了名為“Arcadia”的單一倉庫結構,但也有一部分服務不使用該結構。此外,即使只是構建服務,也需要大量內部工具和專業知識,因為這個并不適用標準構建程序。
泄露的代碼倉庫僅包含代碼內容,另一重要部分數據并不在其中。神經網絡的模型權重等關鍵信息也都沒有,所以幾乎無法實際使用。
盡管如此,仍有許多有趣的文件,比如“blacklist.txt”文件可能會暴露正在運行的服務。
但Bakunov在采訪中證實,黑客確實有可能通過泄露代碼發現安全漏洞,并實施有針對性的漏洞利用行為。Bakunov認為這類狀況的發生將只是時間問題。
這位前高管也評論了Yandex的官方回應,稱泄露代碼雖然可能跟當前工作服務中的代碼版本不盡相同,但相似度也許高達90%。
因此,對泄露代碼開展全面檢查之后,惡意黑客很可能會從Yandex系統中發現可供利用的缺口。
