俄羅斯最大的IT科技公司之一Yandex的源代碼倉庫據(jù)傳遭到前員工竊取，相關數(shù)據(jù)已在某個流行黑客論壇上以BT種子形式泄露。

1月25日，泄密者發(fā)布了一個磁力鏈接，他們聲稱這是“Yandex git 源”，其中包含 2022 年 7 月從公司竊取的 44.7 GB 文件。據(jù)稱，這些代碼存儲庫包含公司除反垃圾郵件規(guī)則之外的所有源代碼。

軟件工程師 Arseniy Shestakov 分析了泄露的 Yandex Git 存儲庫 ，并表示其中包含有關以下產(chǎn)品的技術數(shù)據(jù)和代碼：

• Yandex 搜索引擎和索引機器人
• Yandex 地圖
• 愛麗絲（人工智能助理）
• Yandex 出租車
• Yandex Direct（廣告服務）
• Yandex 郵件
• Yandex Disk（云存儲服務）
• Yandex 市場
• Yandex Travel（旅游預訂平臺）
• Yandex360（工作區(qū)服務）
• Yandex 云
• Yandex Pay（支付處理服務）
• Yandex Metrika（互聯(lián)網(wǎng)分析）

Shestakov 還在 GitHub 上分享了 泄露文件的目錄列表， 供那些想查看哪些源代碼被盜的人使用。

“至少有一些 API 密鑰，但它們可能僅用于測試部署，”Shestakov 談到泄露的數(shù)據(jù)時說。

在一份給媒體的聲明中，Yandex 表示他們的系統(tǒng)沒有被黑客入侵，一名前雇員泄露了源代碼存儲庫。

“Yandex 沒有被黑。我們的安全服務從公共領域的內部存儲庫中發(fā)現(xiàn)了代碼片段，但內容與 Yandex 服務中使用的存儲庫的當前版本不同。

存儲庫是用于存儲和使用代碼的工具。大多數(shù)公司在內部以這種方式使用代碼。

需要存儲庫來處理代碼，而不是用于存儲個人用戶數(shù)據(jù)。我們正在對向公眾發(fā)布源代碼片段的原因進行內部調查，但我們沒有發(fā)現(xiàn)任何對用戶數(shù)據(jù)或平臺性能的威脅?！? Yandex。

數(shù)據(jù)泄露的動機是政治性的

記者 還與 Yandex前高級系統(tǒng)管理員、開發(fā)副主管兼?zhèn)鞑ゼ夹g總監(jiān)Grigory Bakunov討論了此次泄密事件 。他對泄露的代碼非常熟悉，曾在 2002 年至 2019 年期間在這家科技巨頭工作。

巴庫諾夫解釋說，數(shù)據(jù)泄露的動機是政治性的，負責數(shù)據(jù)泄露的 Yandex 員工并未試圖將代碼出售給競爭對手。

這位前高管補充說，泄漏不包含任何客戶數(shù)據(jù)，因此不會對 Yandex 用戶的隱私或安全構成直接風險，也不會直接威脅泄漏專有技術。

Yandex 使用名為“Arcadia”的單一存儲結構，但并非公司的所有服務都使用它。此外，即使只是構建服務，您也需要大量內部工具和專業(yè)知識，因為標準構建程序并不適用。

泄漏的存儲庫僅包含代碼；另一個重要部分是數(shù)據(jù)。神經(jīng)網(wǎng)絡的模型權重等關鍵部分都沒有，所以幾乎沒有用。

盡管如此，仍有許多有趣的文件，其名稱如“blacklist.txt”可能會暴露正在運行的服務。

然而，Bakunov 告訴記者，泄露的代碼使黑客有可能識別安全漏洞并創(chuàng)建有針對性的漏洞利用。巴庫諾夫認為，現(xiàn)在這只是時間問題。

這位前高管還評論了 Yandex 的回應，稱泄露的代碼可能與公司工作服務中使用的當前代碼不相同，但相似度可能高達 90%。

因此，對泄露代碼開展全面檢查之后，惡意黑客很可能會從Yandex系統(tǒng)中發(fā)現(xiàn)可供利用的缺口。

參考來源：https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/