俄IT巨头源代码被一锅端，公司否认黑客入侵

俄罗斯最大的头源IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取 ，相关数据已在某个流行黑客论坛上以BT种子形式泄露
 。代码端

1月25日 ，被锅泄密者发布了一个磁力链接，司否他们声称这是认黑“Yandex git 源”，其中包含 2022 年 7 月从公司窃取的客入 44.7 GB 文件  。据称
，头源这些代码存储库包含公司除反垃圾邮件规则之外的代码端所有源代码。

软件工程师 Arseniy Shestakov 分析了泄露的被锅 Yandex Git 存储库  ，并表示其中包含有关以下产品的司否技术数据和代码：

Yandex 搜索引擎和索引机器人Yandex 地图爱丽丝（人工智能助理）Yandex 出租车Yandex Direct（广告服务）Yandex 邮件Yandex Disk（云存储服务）Yandex 市场Yandex Travel（旅游预订平台）Yandex360（工作区服务）Yandex 云Yandex Pay（支付处理服务）Yandex Metrika（互联网分析）

Shestakov 还在 GitHub 上分享了 泄露文件的服务器租用目录列表  ， 供那些想查看哪些源代码被盗的认黑人使用。

“至少有一些 API 密钥
，客入但它们可能仅用于测试部署，头源”Shestakov 谈到泄露的代码端数据时说 。

在一份给媒体的被锅声明中，Yandex 表示他们的系统没有被黑客入侵 ，一名前雇员泄露了源代码存储库 。

“Yandex 没有被黑 。我们的安全服务从公共领域的内部存储库中发现了代码片段，模板下载但内容与 Yandex 服务中使用的存储库的当前版本不同 。

存储库是用于存储和使用代码的工具  。大多数公司在内部以这种方式使用代码
。

需要存储库来处理代码 ，而不是用于存储个人用户数据。我们正在对向公众发布源代码片段的原因进行内部调查 ，但我们没有发现任何对用户数据或平台性能的威胁 。”- Yandex。

数据泄露的源码下载动机是政治性的

记者 还与 Yandex前高级系统管理员 、开发副主管兼传播技术总监Grigory Bakunov讨论了此次泄密事件 。他对泄露的代码非常熟悉 ，曾在 2002 年至 2019 年期间在这家科技巨头工作。

巴库诺夫解释说，数据泄露的动机是政治性的 ，负责数据泄露的 Yandex 员工并未试图将代码出售给竞争对手 。

这位前高管补充说 ，泄漏不包含任何客户数据，源码库因此不会对 Yandex 用户的隐私或安全构成直接风险，也不会直接威胁泄漏专有技术。

Yandex 使用名为“Arcadia”的单一存储结构，但并非公司的所有服务都使用它。此外 ，即使只是构建服务，您也需要大量内部工具和专业知识 ，因为标准构建程序并不适用。

泄漏的存储库仅包含代码；另一个重要部分是数据。神经网络的香港云服务器模型权重等关键部分都没有，所以几乎没有用。

尽管如此 ，仍有许多有趣的文件，其名称如“blacklist.txt”可能会暴露正在运行的服务。

然而，Bakunov 告诉记者，泄露的代码使黑客有可能识别安全漏洞并创建有针对性的漏洞利用。巴库诺夫认为，现在这只是时间问题。

这位前高管还评论了 Yandex 的亿华云回应，称泄露的代码可能与公司工作服务中使用的当前代码不相同，但相似度可能高达 90%。

因此，对泄露代码开展全面检查之后，恶意黑客很可能会从Yandex系统中发现可供利用的缺口 。

参考来源 ：https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/