俄羅斯科技巨頭Yandex內(nèi)部源代碼全部泄露

發(fā)布時(shí)間 2023-01-29

俄羅斯最大的IT科技公司之一Yandex的源代碼倉(cāng)庫(kù)據(jù)傳遭到前員工竊取,相關(guān)數(shù)據(jù)已在某個(gè)流行黑客論壇上以BT種子形式泄露。


1月25日,泄密者公開(kāi)發(fā)布了一條磁力鏈接,宣稱(chēng)這是“Yandex git sources”,包含了2022年7月從Yandex公司竊取的44.7 GB文件。據(jù)稱(chēng),這批數(shù)據(jù)包含了該公司除反垃圾郵件規(guī)則之外的全部源代碼

1111.png


軟件工程師Arseniy Shestakov分析了泄露的Yandex Git代碼倉(cāng)庫(kù),還在 GitHub 上分享了 泄露文件的目錄列表, 供那些想查看哪些源代碼被盜的人使用。“至少有一些 API 密鑰,但它們可能僅用于測(cè)試部署,”Shestakov 談到泄露的數(shù)據(jù)時(shí)說(shuō)。在一份給媒體的聲明中,Yandex 表示他們的系統(tǒng)沒(méi)有被黑客入侵,一名前雇員泄露了源代碼存儲(chǔ)庫(kù)。


Yandex前高級(jí)系統(tǒng)管理員、開(kāi)發(fā)副主管兼?zhèn)鞑ゼ夹g(shù)總監(jiān)Grigory Bakunov討論了此次泄密事件 。他對(duì)泄露的代碼非常熟悉,曾在 2002 年至 2019 年期間在這家科技巨頭工作。巴庫(kù)諾夫解釋說(shuō),數(shù)據(jù)泄露的動(dòng)機(jī)是政治性的,負(fù)責(zé)數(shù)據(jù)泄露的 Yandex 員工并未試圖將代碼出售給競(jìng)爭(zhēng)對(duì)手。這位前高管補(bǔ)充說(shuō),泄漏不包含任何客戶(hù)數(shù)據(jù),因此不會(huì)對(duì) Yandex 用戶(hù)的隱私或安全構(gòu)成直接風(fēng)險(xiǎn),也不會(huì)直接威脅泄漏專(zhuān)有技術(shù)。


然而,Bakunov 告訴記者,泄露的代碼使黑客有可能識(shí)別安全漏洞并創(chuàng)建有針對(duì)性的漏洞利用。巴庫(kù)諾夫認(rèn)為,現(xiàn)在這只是時(shí)間問(wèn)題。這位前高管還評(píng)論了 Yandex 的回應(yīng),稱(chēng)泄露的代碼可能與公司工作服務(wù)中使用的當(dāng)前代碼不相同,但相似度可能高達(dá) 90%。因此,對(duì)泄露代碼開(kāi)展全面檢查之后,惡意黑客很可能會(huì)從Yandex系統(tǒng)中發(fā)現(xiàn)可供利用的缺口。