44.7 GB ！遭前雇员“反叛”，俄版百度 Yandex 几乎一切源代码流出

作者 | 刘燕

1 月 28 日，据外媒报道，俄罗斯最大的 IT 科技公司之一 Yandex 产生了源代码流出事故。

Yandex 几乎一切源代码流出

据称，一名前雇员流出了 Yandex 的源代码存储库，此中流出了 Yandex 在其搜刮算法中使用的 1,922 个排名要素。

现在，被流出的 Yandex 源代码存储库已在一个盛行的黑客论坛上以 BT 种子的情势流出。

1 月 26 日，泄密者公布了一个磁力链接，声称这是““Yandex git sources”，此中包含 2022 年 7 月从公司盗取的 44.7 GB 文件。据称，这些代码存储库包含公司除反渣滓邮件端正之外的一切源代码。

软件工程师 Arseniy Shestakov 分析了流出的 Yandex Git 存储库，并表现此中包含有关以下产物的武艺数据和代码：

Yandex search engine and indexing bot
Yandex Maps
Alice (AI assistant)
Yandex Taxi
Yandex Direct (ads service)
Yandex Mail
Yandex Disk (cloud storage service)
Yandex Market
Yandex Travel (travel booking platform)
Yandex360 (workspaces service)
Yandex Cloud
Yandex Pay (payment processing service)
Yandex Metrika (internet analytics)Shestakov 还在 GitHub 上分享了流出文件的目次列表，供那些想查察哪些源代码被盗的人使用。“最少有一些 API 密钥，但它们约莫仅用于测试摆设，”Shestakov 谈到流出的数据时说。

Yandex 否定黑客入侵，将源代码流出归罪于前员工

在给Bleeping Computer 的一份声明中，Yandex 表现他们的体系没有被黑客入侵，一名前雇员流出了源代码存储库。

“Yandex 没有被黑。我们的宁静办事从公用范畴的内里存储库中发觉了代码片断，但内容与 Yandex 办事中使用的存储库的如今版本不同。

存储库是用于存储和使用代码的东西。大大多公司在内里经过这种办法使用代码。代码货仓的作用是处理代码，而非存储一局部用户数据。我们正在对向群众公布源代码片断的缘故举行内里观察，但我们没有发觉对用户数据或平台功能有任何要挟。”- Yandex。

增长黑客暴露风险

Yandex 前高等体系办理员、开发副主管兼转达武艺总监Grigory Bakunov向 BleepingComputer 批评此次泄密事变表现，他对流出的代码十分熟习，他曾在 2002 年至 2019 年时期在这家科技巨头事情。

Bakunov以为，数据流出的动机是政治性的，招致数据流出的“地痞” Yandex 员工并未试图将代码出售给竞争对手。

这位前高管增补说，流出不包含任何客户数据，因此不会对 Yandex 用户的隐私或宁静构成直接风险，也不会直接要挟和流出专有武艺。

“Yandex 使用名为‘Arcadia’的单一存储布局，但并非公司的一切办事都使用它。别的，即使只是构建办事，也必要多量内里东西和专业知识，由于标准构建步骤并不实用。流出的存储库仅包含代码；另一个紧张局部是数据。神经网络的模子权重等紧张局部都没有，以是几乎没有效。只管云云，仍有很多‘幽默’的文件，其称呼如“blacklist.txt”约莫会暴露正在运转的办事。”

不外 Bakunov 也提示，流出的代码使黑客有约莫识别宁静毛病并实行有针对性的毛病使用活动。如今，这只是时间成绩。

这位前高管还批评了 Yandex 的声明，称流出的代码约莫与公司事情办事中使用的如今代码不相反，但相似度约莫高达 90%。因此，对流出代码展开全盘反省后，恶意黑客很约莫会从 Yandex 体系中发觉可供使用的缺口。