前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >最大的俄语搜索引擎代码泄露,你们怎么看?

最大的俄语搜索引擎代码泄露,你们怎么看?

作者头像
二哥聊运营工具
发布2023-02-24 21:44:21
7550
发布2023-02-24 21:44:21
举报
文章被收录于专栏:程序员泥瓦匠

整理 | 屠敏

出品 | CSDN(ID:CSDNnews)

据外媒 BleepingComputer 报道,俄罗斯科技巨头 Yandex 源代码存储库惨遭泄露,在一个主流的黑客论坛上,该源代码库被以 Torrent 磁链的方式对外呈现。

不过,Yandex 在一份声明中表示,自家公司并不是遭到了黑客攻击,而是一名员工从中作梗,最终这名员工也变成了“前任”。

Yandex 所有主要服务的源码遭泄露

Yandex 这家公司,想必不少人也并不陌生,它是俄罗斯最大的 IT 公司之一。其提供的服务要比国外的 Google、国内的百度或阿里腾讯要多得多,对此,也有人评价道,可以想象一下,一家公司可以取代 Google、Uber、亚马逊、Netflix 和 Spotify 是什么概念。

在黑客网站上,泄密者标注了一个名为 Yandex git sources 的文件,其中暗藏 Yandex 多款服务的源代码,具体包括了 2022 年 7 月泄露者从该公司窃取的 44.7GB 的文件,而这些代码库覆盖除了 Yandex 反垃圾邮件规则外的所有源代码。

对此,国外一位软件工程师 Arseniy Shestakov 综合了所有公开信息,进一步分析了 Yandex 服务源代码内容,最终有了一些新的发现。其表示,“看起来至少 Yandex 所有主要服务的源代码都被泄露了。”

具体包括:

  • Yandex 搜索引擎和索引机器人
  • Yandex 地图
  • Alice(AI 语音助手)
  • Yandex 出租车服务
  • Yandex 定向(广告服务)
  • Yandex 邮件
  • Yandex Disk(云存储服务)
  • Yandex 市场服务(有些类似于亚马逊)
  • Yandex 旅行服务(旅游预订平台)
  • Yandex360(工作空间服务)
  • Yandex 云服务
  • Yandex Pay(支付处理服务)
  • Yandex Metrika(互联网分析服务)

此次数据泄露的规模有些超乎想象。与此同时,据 Arseniy Shestakov 深挖发现,所有泄露文件的日期都可以追溯到 2022 年 2 月 24 日。

代码解析

稍微值得庆幸的是,这些文件主要是存储库的内容,不包含 git 历史记录,且大多数软件没有预构建的二进制文件,只有少数例外。因此,这次泄露的信息没有个人数据,此外,没有内部工具的代码本身也不太可能完全重现出一些 Yandex 的服务。

不过,有一些开发者倒是从泄露的源码中发现了一些不同之处。来自加拿大的一名黑客 Aubrey Cottle 注意到,通过 Yandex 泄露的代码文件显示,该搜索平台包容种族主义,通过一些代码就可以显而易见。

Yandex 紧急回应

据网友统计,Yandex 此次泄露的文件包含了公司 79 个服务和项目的代码。面对如此大规模的泄露事件,Yandex 也快速地进行了回应,其发言人 Polina Pestova 表示:

Yandex 没有被黑客入侵。我们的安全服务发现了公开可用的内部存储代码片段,但是它们的内容与 Yandex 服务中使用的当前存储库版本不同。 存储库是用于存储和处理代码的工具,大多数公司在内部都是以这种方式使用代码。存储库是处理代码所必需的方式,而不是用于存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查,但我们没有看到对用户数据或平台性能的任何威胁。

不过据 BleepingComputer 报道,Yandex 前高级系统管理员、开发副主管兼传播技术总监 Grigory Bakunov 在探讨这一次的泄漏事件时表示,数据泄露的动机是政治性的,好在此次涉及数据泄露的 Yandex 员工并没有试图将代码出售给竞争对手。

这位前高管补充道,泄漏不包含任何客户数据,因此不会对 Yandex 用户的隐私或安全构成直接风险,也不会直接威胁泄漏专有技术。

Yandex 使用一种名为为“Arcadia”的单存储库结构,但并非所有公司的服务都使用它。此外,即使只是为了构建服务,开发者也需要大量的内部工具和专业知识,因为标准的构建过程不适用。 泄露的存储库仅包含代码;另一个重要部分是数据。关键部分,如神经网络的模型权重等,都不存在,所以它几乎没用。 尽管如此,还是有很多有趣的文件,如一个名为“blacklist.txt”的文件,可能会暴露 Yandex 的工作服务。

当然,不容忽视的是,黑客还是可以利用这些源码来寻找 Yandex 服务的漏洞等。

参考链接:

https://www.quora.com/How-do-tech-companies-make-sure-that-employees-can-t-steal-or-leak-their-source-code

https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/

https://arseniyshestakov.com/2023/01/26/yandex-services-source-code-leak/

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-01-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 程序员泥瓦匠 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档