俄罗斯版“谷歌”Yandex源代码遭泄露
编译:代码卫士
俄罗斯版“谷歌”搜索引擎Yandex 的源代码仓库被一名离职员工盗取,该搜索引擎的源代码以Torrent方式在热门黑客论坛上泄露。
泄露者发布了声称为“Yandex git源”的链接,该git源包含在2022年7月被盗的44.7GB大小的文件。这些代码仓库据悉包含Yandex公司的所有源代码以及反垃圾邮件规则。
软件工程师 Arseniy Shestakov 分析了该仓库后认为,其中包括如下产品的技术数据和代码:
Yandex 搜索引擎和索引机器人
Yandex Maps
Alice (AI助手)
Yandex Taxi
Yandex Direct(广告服务)
Yandex Mail
Yandex Disk (云存储服务)
Yandex Market
Yandex Travel (差旅预定平台)
Yandex360(工作区服务)
Yandex Cloud
Yandex Pay(支付处理服务)
Yandex Metrika(互联网分析)
Shestakov还在GitHub上共享了被泄露文件的目录列表,他提到,“其中至少存在一些API密钥,但可能仅用于测试开发。”
Yandex 公司回应称,系统并未遭入侵,一名离职员工泄露了该源代码仓库。该公司指出,“Yandex 并未遭入侵。我们的安全服务虽然从公开域名中的一个内部仓库中发现了代码片段,但内容和Yandex各服务中使用的当前仓库版本不同。仓库是用于代码存储和工作的工具。多数企业内部以这种方式使用代码。仓库需要和代码一起工作,而并非用于存储用户的个人数据。我们正在对源代码片段被公开披露的原因展开内部调查,但我们并未发现对用户数据或平台性能造成的任何威胁。”
Yandex公司的离职高级系统管理员、开发副主任兼技术传播主任 Grigory Bakunov对被泄源代码非常熟悉,他在2022年至2019年期间在该公司任职。
Bakunov解释称,数据泄露的动机是政治原因,恶意内鬼并未尝试将代码出售给竞争对手。他还提到,所泄露数据中并不包括任何客户数据,因此并未对Yandex用户的隐私或安全带来直接风险,也并未直接威胁泄露该专有技术。
他指出,“Yandex 使用了一种名为‘Arcadia’的单仓库结构,但并非该公司的所有服务都使用该结构。另外,即使仅仅构建一款服务,用户也需要很多内部工具和特殊知识,因为标准的构建流程并不适用。该被盗仓库中仅存在代码:另外一个重要部分是数据。关键部分如神经网络的模型权重是缺失的,因此它基本没有什么用处。不过,很多文件的名称如 ‘blacklist.txt’值得关注,因为它们可能会暴露工作服务。”
然而,Bakunov 表示,被泄露代码使得黑客能够识别安全差距并创建目标利用。他认为发生这种情况只不过是个时间问题。他还评论了Yandex公司的回应,表示虽然被盗代码和当前工作服务中所使用的代码版本不同,但两者的相似度可能超过90%。”
因此,威胁行动者可能会通过全面检查被盗代码而获悉Yandex的可能薄弱点。
俄罗斯版谷歌Yandex 遭Mēris僵尸网络大规模攻击
谁比谁更坏?五眼联盟被曝入侵俄版谷歌 Yandex 系统
https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。