俄羅斯科技巨頭 Yandex 幾乎所有產(chǎn)品的源代碼被泄露，公司稱(chēng)是前員工所為

IT之家 1 月 28 日消息，據 BleepingComputer 報道，由俄羅斯技術(shù)公司的一名前雇員竊取的 Yandex 源代碼庫已在一個(gè)流行的黑客論壇上以 Torrent 的形式被泄露。

昨天，泄密者發(fā)布了一個(gè)磁力鏈接，他們聲稱(chēng)是“Yandex git sources”，包括 2022 年 7 月從該公司竊取的 44.7GB 的文件。據稱(chēng)，這些代碼庫包含了該公司除反垃圾郵件規則外的所有源代碼。

軟件工程師 Arseniy Shestakov 分析了泄露的 Yandex Git 資源庫，并表示它包含了關(guān)于以下產(chǎn)品的技術(shù)數據和代碼：

• Yandex 搜索引擎和索引機器人

• Yandex 地圖

• 愛(ài)麗絲（AI 助手）

• Yandex 出租車(chē)

• Yandex Direct （廣告服務(wù)）

• Yandex 郵件

• Yandex Disk （云存儲服務(wù)）

• Yandex 市場(chǎng)

• Yandex Travel （旅游預訂平臺）

• Yandex360（工作空間服務(wù)）

• Yandex 云

• Yandex Pay（支付處理服務(wù)）

• Yandex Metrika（互聯(lián)網(wǎng)分析）

IT之家了解到，在給 BleepingComputer 的一份聲明中，Yandex 說(shuō)他們的系統沒(méi)有被黑，一個(gè)前雇員泄露了源代碼庫：“Yandex 沒(méi)有被黑。我們的安全服務(wù)在公共領(lǐng)域發(fā)現了內部存儲庫的代碼片段，但內容與 Yandex 服務(wù)中使用的存儲庫的當前版本不同?！贝鎯焓且粋€(gè)用于存儲和處理代碼的工具，大多數公司都是以這種方式在內部使用代碼。

Yandex 還稱(chēng)：“存儲庫是需要用來(lái)處理代碼的，而不是用來(lái)存儲個(gè)人用戶(hù)數據的。我們正在對泄露原因進(jìn)行內部調查，但我們沒(méi)有看到對用戶(hù)數據或平臺性能的任何威脅?！?/p>

據悉，這次泄漏不包含任何客戶(hù)數據，因此不構成對 Yandex 用戶(hù)隱私或安全的直接風(fēng)險，也沒(méi)有直接威脅到專(zhuān)利技術(shù)的泄漏。

泄露的資源庫只包含代碼，另一個(gè)重要部分是數據，而關(guān)鍵部分，如神經(jīng)網(wǎng)絡(luò )的模型權重等都沒(méi)有泄露，所以它幾乎沒(méi)有用。然而，泄露的代碼為黑客創(chuàng )造了識別安全漏洞和創(chuàng )建有針對性的漏洞的可能性。