突发！俄罗斯科技巨头Yandex内部源代码全部泄露

　　这批据称为Yandex前员工2022年7月从公司窃取，总计44。7GB，包含了该公司除反垃圾邮件规则之外的全部源代码；Yandex前技术主管分析，此次数据泄露的动机与政治有关，窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手；泄露内容不包含任何客户数据，因此不会对用户隐私或安全构成直接风险，也不会导致专有技术外流，但增加了黑客暴露风险。
　　前情回顾俄罗斯网络威胁态势乌克兰网军入侵俄罗斯央行，公布大量敏感数据恶意黑客操纵网约车订单，在俄罗斯首都制造交通拥塞俄最大银行遭到最严重DDoS攻击，普京称正经历信息空间战争
　　安全内参1月28日消息，俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取，相关数据已在某个流行黑客论坛上以BT种子形式泄露。
　　1月25日，泄密者公开发布了一条磁力链接，宣称这是Yandexgitsources，包含了2022年7月从Yandex公司窃取的44。7GB文件。据称，这批数据包含了该公司除反垃圾邮件规则之外的全部源代码。
　　图：泄露在黑客论坛上的Yandex代码仓库
　　软件工程师ArseniyShestakov分析了泄露的YandexGit代码仓库，并表示其中包含关于以下产品的技术数据和代码：Yandex搜索引擎与索引机器人YandexMapsAlice（AI助手）YandexTaxiYandexDirect（广告服务）YandexMailYandexDisk（云存储服务）YandexMarketYandexTravel（旅游预订平台）Yandex360（办公服务）YandexCloudYandexPay（支付处理服务）YandexMetrika（互联网分析）
　　Shestakov还在GitHub上共享了泄露文件的目录列表，感兴趣的读者可以具体查看有哪些源代码遭到窃取。
　　（http：gist。github。comArseniyShestakov53a80e3214601aa20d1075872a1ea989）
　　其中至少包含部分API密钥，但它们可能仅用于测试部署。Shestakov在谈到泄露数据时说。
　　Yandex官方给外媒的声明中表示，他们的系统并未遭受黑客入侵，泄露源代码仓库的是一名前雇员。Yandex并未遭受黑客入侵。我们的安全服务从公共域的内部仓库中发现了代码片段，但内容与Yandex服务中的当前代码仓库版本不同。
　　代码仓库是用于存储和使用代码的工具。大多数公司都通过这种内部仓库的方式使用代码。
　　代码仓库的作用在于处理代码，而非存储个人用户数据。我们正对源代码片段外泄的原因开展内部调查，但并未发现用户数据或平台性能面临任何威胁。
　　Yandex公司
　　源代码泄露将内部架构暴露于黑客
　　外媒BleepingComputer与Yandex公司前高级系统管理员、开发副主管兼技术传播总监GrigoryBakunov讨论了此次泄露事件。Bakunov对泄露的代码内容非常熟悉，曾在2002年至2019年期间在这家俄罗斯科技巨头工作。
　　Bakunov解释称，此次数据泄露的动机与政治有关，窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手。
　　这位前高管补充道，泄露内容不包含任何客户数据，因此不会对Yandex用户的隐私或安全构成直接风险，也不会导致专有技术外流。Yandex使用了名为Arcadia的单一仓库结构，但也有一部分服务不使用该结构。此外，即使只是构建服务，也需要大量内部工具和专业知识，因为这个并不适用标准构建程序。
　　泄露的代码仓库仅包含代码内容，另一重要部分数据并不在其中。神经网络的模型权重等关键信息也都没有，所以几乎无法实际使用。
　　尽管如此，仍有许多有趣的文件，比如blacklist。txt文件可能会暴露正在运行的服务。
　　但Bakunov在采访中证实，黑客确实有可能通过泄露代码发现安全漏洞，并实施有针对性的漏洞利用行为。Bakunov认为这类状况的发生将只是时间问题。
　　这位前高管也评论了Yandex的官方回应，称泄露代码虽然可能跟当前工作服务中的代码版本不尽相同，但相似度也许高达90。
　　因此，对泄露代码开展全面检查之后，恶意黑客很可能会从Yandex系统中发现可供利用的缺口。
　　参考资料：bleepingcomputer。com