整理 | 屠敏
出品 | CSDN(ID:CSDNnews)
据外媒 BleepingComputer 报道,俄罗斯科技巨头 Yandex 源代码存储库惨遭泄露,在一个主流的黑客论坛上,该源代码库被以 Torrent 磁链的方式对外呈现。
不过,Yandex 在一份声明中表示,自家公司并不是遭到了黑客攻击,而是一名员工从中作梗,最终这名员工也变成了“前任”。
Yandex 所有主要服务的源码遭泄露
Yandex 这家公司,想必不少人也并不陌生,它是俄罗斯最大的 IT 公司之一。其提供的服务要比国外的 Google、国内的百度或阿里腾讯要多得多,对此,也有人评价道,可以想象一下,一家公司可以取代 Google、Uber、亚马逊、Netflix 和 Spotify 是什么概念。
在黑客网站上,泄密者标注了一个名为 Yandex git sources 的文件,其中暗藏 Yandex 多款服务的源代码,具体包括了 2022 年 7 月泄露者从该公司窃取的 44.7GB 的文件,而这些代码库覆盖除了 Yandex 反垃圾邮件规则外的所有源代码。
对此,国外一位软件工程师 Arseniy Shestakov 综合了所有公开信息,进一步分析了 Yandex 服务源代码内容,最终有了一些新的发现。其表示,“看起来至少 Yandex 所有主要服务的源代码都被泄露了。”
具体包括:
此次数据泄露的规模有些超乎想象。与此同时,据 Arseniy Shestakov 深挖发现,所有泄露文件的日期都可以追溯到 2022 年 2 月 24 日。
代码解析
稍微值得庆幸的是,这些文件主要是存储库的内容,不包含 git 历史记录,且大多数软件没有预构建的二进制文件,只有少数例外。因此,这次泄露的信息没有个人数据,此外,没有内部工具的代码本身也不太可能完全重现出一些 Yandex 的服务。
不过,有一些开发者倒是从泄露的源码中发现了一些不同之处。来自加拿大的一名黑客 Aubrey Cottle 注意到,通过 Yandex 泄露的代码文件显示,该搜索平台包容种族主义,通过一些代码就可以显而易见。
Yandex 紧急回应
据网友统计,Yandex 此次泄露的文件包含了公司 79 个服务和项目的代码。面对如此大规模的泄露事件,Yandex 也快速地进行了回应,其发言人 Polina Pestova 表示:
Yandex 没有被黑客入侵。我们的安全服务发现了公开可用的内部存储代码片段,但是它们的内容与 Yandex 服务中使用的当前存储库版本不同。 存储库是用于存储和处理代码的工具,大多数公司在内部都是以这种方式使用代码。存储库是处理代码所必需的方式,而不是用于存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查,但我们没有看到对用户数据或平台性能的任何威胁。
不过据 BleepingComputer 报道,Yandex 前高级系统管理员、开发副主管兼传播技术总监 Grigory Bakunov 在探讨这一次的泄漏事件时表示,数据泄露的动机是政治性的,好在此次涉及数据泄露的 Yandex 员工并没有试图将代码出售给竞争对手。
这位前高管补充道,泄漏不包含任何客户数据,因此不会对 Yandex 用户的隐私或安全构成直接风险,也不会直接威胁泄漏专有技术。
Yandex 使用一种名为为“Arcadia”的单存储库结构,但并非所有公司的服务都使用它。此外,即使只是为了构建服务,开发者也需要大量的内部工具和专业知识,因为标准的构建过程不适用。 泄露的存储库仅包含代码;另一个重要部分是数据。关键部分,如神经网络的模型权重等,都不存在,所以它几乎没用。 尽管如此,还是有很多有趣的文件,如一个名为“blacklist.txt”的文件,可能会暴露 Yandex 的工作服务。
当然,不容忽视的是,黑客还是可以利用这些源码来寻找 Yandex 服务的漏洞等。
参考链接:
https://www.quora.com/How-do-tech-companies-make-sure-that-employees-can-t-steal-or-leak-their-source-code
https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/
https://arseniyshestakov.com/2023/01/26/yandex-services-source-code-leak/