俄罗斯最大的IT技术公司之一Yandex的源代码仓库被传被前雇员窃取。相关数据已经以BT种子的形式出现在了热门黑客论坛Giveway。1月25日,泄密者发布了一个指向他们声称是“Yandexgit源”的磁力链接,其中包含2022年7月从该公司窃取的44.7GB文件。据称,这些代码存储库包含该公司的所有源代码,除了其反-垃圾邮件规则。软件工程师ArseniyShestakov分析了泄露的YandexGit存储库,并表示其中包含以下产品的技术数据和代码:Yandex搜索引擎和索引机器人YandexMapsAlice(人工智能助手)Yandex出租车YandexDirect(广告服务)YandexMailYandexDisk(云存储服务)YandexMarketplaceYandexTravel(旅游预订平台)Yandex360(工作空间服务)YandexCloudYandexPay(支付处理服务)YandexMetrika(互联网分析)Shestakov还在GitHub上分享了泄漏的文件目录列表,用于那些想查看哪些源代码被盗的人。“至少有一些API密钥,但它们可能只用于测试部署,”Shestakov谈到泄露的数据时说。在给媒体的一份声明中,Yandex表示他们的系统没有被黑客入侵,并且一名前雇员泄露了源代码存储库。“Yandex没有被黑客攻击。我们的安全服务从公共领域的内部存储库中发现了代码片段,但内容与Yandex服务中使用的存储库的当前版本不同。存储库是存储和使用代码的工具。大多数公司使用代码在内部以这种方式。需要存储库来处理代码,而不是存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查,但我们没有发现任何对数据或平台的威胁表现。”-Yandex。数据泄露的动机是政治性的记者还与Yandex前高级系统管理员、开发副主管兼通信技术总监GrigoryBakunov讨论了此次泄露事件。他从2002年到2019年在这家科技巨头工作,对泄露的代码很熟悉。巴库诺夫解释说,数据泄露的动机是政治性的,负责数据泄露的Yandex员工并没有试图将代码出售给竞争对手.这位前高管补充说,泄漏不包含任何客户数据,因此不会对Yandex用户的隐私或安全构成直接风险,也不会直接威胁泄漏专有技术。Yandex使用称为“Arcadia”的单一存储结构,但并非公司的所有服务都使用它。此外,即使只是构建服务也需要大量内部工具和专业知识,因为标准构建过程并不适用。泄漏的存储库仅包含代码;另一个重要的部分是数据。神经网络的关键部分,比如模型权值,都缺失了,所以几乎没什么用。尽管如此,仍有许多有趣的文件,其名称如“blacklist.txt”可能会暴露正在运行的服务。然而,巴库诺夫告诉记者,泄露的代码使黑客有可能识别安全漏洞并创建有针对性的漏洞利用。巴库诺夫认为,现在只是时间问题。这位前高管还评论了Yandex的回应,称泄露的代码可能与公司工作服务中目前使用的代码不一样,但相似度可能高达90%。因此,在对泄露的代码进行彻底检查后,恶意黑客很可能会在Yandex系统中找到可利用的漏洞。参考来源:https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/
