俄羅斯科技巨頭Yandex內(nèi)部源代碼全部泄露

發(fā)布時(shí)間 2023-01-29

俄羅斯最大的IT科技公司之一Yandex的源代碼倉(cāng)庫(kù)據(jù)傳遭到前員工竊取,相關(guān)數(shù)據(jù)已在某個(gè)流行黑客論壇上以BT種子形式泄露。


1月25日,泄密者公開發(fā)布了一條磁力鏈接,宣稱這是“Yandex git sources”,包含了2022年7月從Yandex公司竊取的44.7 GB文件。據(jù)稱,這批數(shù)據(jù)包含了該公司除反垃圾郵件規(guī)則之外的全部源代碼。

1111.png


軟件工程師Arseniy Shestakov分析了泄露的Yandex Git代碼倉(cāng)庫(kù),還在 GitHub 上分享了 泄露文件的目錄列表, 供那些想查看哪些源代碼被盜的人使用。“至少有一些 API 密鑰,但它們可能僅用于測(cè)試部署,”Shestakov 談到泄露的數(shù)據(jù)時(shí)說。在一份給媒體的聲明中,Yandex 表示他們的系統(tǒng)沒有被黑客入侵,一名前雇員泄露了源代碼存儲(chǔ)庫(kù)。


Yandex前高級(jí)系統(tǒng)管理員、開發(fā)副主管兼?zhèn)鞑ゼ夹g(shù)總監(jiān)Grigory Bakunov討論了此次泄密事件 。他對(duì)泄露的代碼非常熟悉,曾在 2002 年至 2019 年期間在這家科技巨頭工作。巴庫(kù)諾夫解釋說,數(shù)據(jù)泄露的動(dòng)機(jī)是政治性的,負(fù)責(zé)數(shù)據(jù)泄露的 Yandex 員工并未試圖將代碼出售給競(jìng)爭(zhēng)對(duì)手。這位前高管補(bǔ)充說,泄漏不包含任何客戶數(shù)據(jù),因此不會(huì)對(duì) Yandex 用戶的隱私或安全構(gòu)成直接風(fēng)險(xiǎn),也不會(huì)直接威脅泄漏專有技術(shù)。


然而,Bakunov 告訴記者,泄露的代碼使黑客有可能識(shí)別安全漏洞并創(chuàng)建有針對(duì)性的漏洞利用。巴庫(kù)諾夫認(rèn)為,現(xiàn)在這只是時(shí)間問題。這位前高管還評(píng)論了 Yandex 的回應(yīng),稱泄露的代碼可能與公司工作服務(wù)中使用的當(dāng)前代碼不相同,但相似度可能高達(dá) 90%。因此,對(duì)泄露代碼開展全面檢查之后,惡意黑客很可能會(huì)從Yandex系統(tǒng)中發(fā)現(xiàn)可供利用的缺口。