俄IT巨头源代码被一锅端，公司否认黑客入侵

俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取，相关数据已在一个热门的黑客论坛上以BT种子形式泄露。

1月25日，泄密者发布了一个磁力链接，他们声称这是“Yandex git 源”，其中包含 2022 年 7 月从公司窃取的 44.7 GB 文件。据称，这些代码存储库包含公司除反垃圾邮件规则之外的所有源代码。

软件工程师 Arseniy Shestakov 分析了泄露的 Yandex Git 存储库 ，并表示其中包含有关以下产品的技术数据和代码：

• Yandex 搜索引擎和索引机器人
• Yandex 地图
• 爱丽丝（人工智能助理）
• Yandex 出租车
• Yandex Direct（广告服务）
• Yandex 邮件
• Yandex Disk（云存储服务）
• Yandex 市场
• Yandex Travel（旅游预订平台）
• Yandex360（工作区服务）
• Yandex 云
• Yandex Pay（支付处理服务）
• Yandex Metrika（互联网分析）

Shestakov 还在 GitHub 上分享了 泄露文件的目录列表， 供那些想查看哪些源代码被盗的人使用。

“至少有一些 API 密钥，但它们可能仅用于测试部署，”Shestakov 谈到泄露的数据时说。

在一份给媒体的声明中，Yandex 表示他们的系统没有被黑客入侵，一名前雇员泄露了源代码存储库。

Yandex 没有被黑。我们的安全服务从公共领域的内部存储库中发现了代码片段，但内容与 Yandex 服务中使用的存储库的当前版本不同。

存储库是用于存储和使用代码的工具。大多数公司在内部以这种方式使用代码。

需要存储库来处理代码，而不是用于存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查，但我们没有发现任何对用户数据或平台性能的威胁。”

数据泄露出于政治目的

记者 还与 Yandex前高级系统管理员、开发副主管兼传播技术总监Grigory Bakunov讨论了此次泄密事件 。他对泄露的代码非常熟悉，曾在 2002 年至 2019 年期间在这家科技巨头工作。

Bakunov解释说，数据泄露的动机是政治性的，负责数据泄露的 Yandex 员工并未试图将代码出售给竞争对手。

这位前高管补充说，泄漏不包含任何客户数据，因此不会对 Yandex 用户的隐私或安全构成直接风险，也不会直接威胁泄漏专有技术。

Yandex 使用名为“Arcadia”的单一存储结构，但并非公司的所有服务都使用它。此外，即使只是构建服务，您也需要大量内部工具和专业知识，因为标准构建程序并不适用。

泄漏的存储库仅包含代码；另一个重要部分是数据。神经网络的模型权重等关键部分都没有，所以几乎没有用。

尽管如此，仍有许多有趣的文件，其名称如“blacklist.txt”可能会暴露正在运行的服务。

然而，Bakunov 告诉记者，泄露的代码使黑客有可能识别安全漏洞并创建有针对性的漏洞利用。巴库诺夫认为，现在这只是时间问题。

这位前高管还评论了 Yandex 的回应，称泄露的代码可能与公司工作服务中使用的当前代码不相同，但相似度可能高达 90%。

因此，对泄露代码开展全面检查之后，恶意黑客很可能会从Yandex系统中发现可供利用的缺口。