俄羅斯科技巨頭Yandex內(nèi)部源代碼全部泄露

發(fā)布時間 2023-01-29

俄羅斯最大的IT科技公司之一Yandex的源代碼倉庫據(jù)傳遭到前員工竊取,相關(guān)數(shù)據(jù)已在某個流行黑客論壇上以BT種子形式泄露。


1月25日,泄密者公開發(fā)布了一條磁力鏈接,宣稱這是“Yandex git sources”,包含了2022年7月從Yandex公司竊取的44.7 GB文件。據(jù)稱,這批數(shù)據(jù)包含了該公司除反垃圾郵件規(guī)則之外的全部源代碼。

1111.png


軟件工程師Arseniy Shestakov分析了泄露的Yandex Git代碼倉庫,還在 GitHub 上分享了 泄露文件的目錄列表, 供那些想查看哪些源代碼被盜的人使用。“至少有一些 API 密鑰,但它們可能僅用于測試部署,”Shestakov 談到泄露的數(shù)據(jù)時說。在一份給媒體的聲明中,Yandex 表示他們的系統(tǒng)沒有被黑客入侵,一名前雇員泄露了源代碼存儲庫。


Yandex前高級系統(tǒng)管理員、開發(fā)副主管兼?zhèn)鞑ゼ夹g(shù)總監(jiān)Grigory Bakunov討論了此次泄密事件 。他對泄露的代碼非常熟悉,曾在 2002 年至 2019 年期間在這家科技巨頭工作。巴庫諾夫解釋說,數(shù)據(jù)泄露的動機(jī)是政治性的,負(fù)責(zé)數(shù)據(jù)泄露的 Yandex 員工并未試圖將代碼出售給競爭對手。這位前高管補(bǔ)充說,泄漏不包含任何客戶數(shù)據(jù),因此不會對 Yandex 用戶的隱私或安全構(gòu)成直接風(fēng)險,也不會直接威脅泄漏專有技術(shù)。


然而,Bakunov 告訴記者,泄露的代碼使黑客有可能識別安全漏洞并創(chuàng)建有針對性的漏洞利用。巴庫諾夫認(rèn)為,現(xiàn)在這只是時間問題。這位前高管還評論了 Yandex 的回應(yīng),稱泄露的代碼可能與公司工作服務(wù)中使用的當(dāng)前代碼不相同,但相似度可能高達(dá) 90%。因此,對泄露代碼開展全面檢查之后,惡意黑客很可能會從Yandex系統(tǒng)中發(fā)現(xiàn)可供利用的缺口。