这批据称为Yandex前员工2022年7月从公司窃取,总计44.7GB,包含了该公司除反垃圾邮件规则之外的全部源代码;
Yandex前技术主管分析,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手;
泄露内容不包含任何客户数据,因此不会对用户隐私或安全构成直接风险,也不会导致专有技术外流,但增加了黑客暴露风险。
前情回顾·俄罗斯网络威胁态势
安全内参1月28日消息,俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,相关数据已在某个流行黑客论坛上以BT种子形式泄露。
1月25日,泄密者公开发布了一条磁力链接,宣称这是“Yandex git sources”,包含了2022年7月从Yandex公司窃取的44.7 GB文件。据称,这批数据包含了该公司除反垃圾邮件规则之外的全部源代码。
图:泄露在黑客论坛上的Yandex代码仓库
软件工程师Arseniy Shestakov分析了泄露的Yandex Git代码仓库,并表示其中包含关于以下产品的技术数据和代码:
Yandex搜索引擎与索引机器人
Yandex Maps
Alice (AI助手)
Yandex Taxi
Yandex Direct (广告服务)
Yandex Mail
Yandex Disk (云存储服务)
Yandex Market
Yandex Travel (旅游预订平台)
Yandex360 (办公服务)
Yandex Cloud
Yandex Pay (支付处理服务)
Yandex Metrika (互联网分析)
Shestakov还在GitHub上共享了泄露文件的目录列表,感兴趣的读者可以具体查看有哪些源代码遭到窃取。
(http://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989)
“其中至少包含部分API密钥,但它们可能仅用于测试部署。”Shestakov在谈到泄露数据时说。
Yandex官方给外媒的声明中表示,他们的系统并未遭受黑客入侵,泄露源代码仓库的是一名前雇员。
“Yandex并未遭受黑客入侵。我们的安全服务从公共域的内部仓库中发现了代码片段,但内容与Yandex服务中的当前代码仓库版本不同。
代码仓库是用于存储和使用代码的工具。大多数公司都通过这种内部仓库的方式使用代码。
代码仓库的作用在于处理代码,而非存储个人用户数据。我们正对源代码片段外泄的原因开展内部调查,但并未发现用户数据或平台性能面临任何威胁。”
——Yandex公司
源代码泄露将内部架构暴露于黑客
外媒BleepingComputer与Yandex公司前高级系统管理员、开发副主管兼技术传播总监Grigory Bakunov讨论了此次泄露事件。Bakunov对泄露的代码内容非常熟悉,曾在2002年至2019年期间在这家俄罗斯科技巨头工作。
Bakunov解释称,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手。
这位前高管补充道,泄露内容不包含任何客户数据,因此不会对Yandex用户的隐私或安全构成直接风险,也不会导致专有技术外流。
Yandex使用了名为“Arcadia”的单一仓库结构,但也有一部分服务不使用该结构。此外,即使只是构建服务,也需要大量内部工具和专业知识,因为这个并不适用标准构建程序。
泄露的代码仓库仅包含代码内容,另一重要部分数据并不在其中。神经网络的模型权重等关键信息也都没有,所以几乎无法实际使用。
尽管如此,仍有许多有趣的文件,比如“blacklist.txt”文件可能会暴露正在运行的服务。
但Bakunov在采访中证实,黑客确实有可能通过泄露代码发现安全漏洞,并实施有针对性的漏洞利用行为。Bakunov认为这类状况的发生将只是时间问题。
这位前高管也评论了Yandex的官方回应,称泄露代码虽然可能跟当前工作服务中的代码版本不尽相同,但相似度也许高达90%。
因此,对泄露代码开展全面检查之后,恶意黑客很可能会从Yandex系统中发现可供利用的缺口。
参考资料:https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
