白俄罗斯第三大信息技术巨擘,说实话碰上了大麻烦:
44.7GB源代码,全被外泄到了网路上。
甚么基本概念?
是另一家名叫Yandex的子公司,基本上大部份主要就服务项目的源代码都被挖了个底掉……
要晓得,在白俄罗斯,Yandex不但干着浏览器的体力活,还把沙俄百姓网购、坐车、订送餐、代驾这连串日常生活服务项目都给包圆了。
单纯而言,相等于皮夏涅腾讯+淘宝网+携程+Lyft。
那么大个事,大自然引发了在世界上网民的驻足观看。
但就在旁人争相揣测这又是另一家骇客手迹之时,Yandex的新闻稿却很多更让人瞠目结舌:
他们没被黑,是被前雇员给卖了……
44.7GB源代码遭外泄,标识符被扒了个跟头
简而言之,外泄镜像最先再次出现在了两个骇客高峰论坛上。
告密者称,这本44.7GB的Yandex标识符库,包涵该子公司2022年7月从前,除反流氓软件准则以外的大部份源代码。
那些被外泄出的标识符数据量究竟有多大?
看一看网民们不亦乐乎扒出的技术细节就晓得了……
Yandex不是以浏览器起家,常被称作“皮夏涅腾讯”/“皮夏涅谷歌”嘛,那就先以浏览器部分的标识符为例。
一位名叫Alex Buraks的老哥就深扒了下Yandex浏览器的排名准则,还戏称这对理解谷歌SEO(浏览器优化)有很多有用的信息。
毕竟Yandex和谷歌的搜索结果有70%的匹配度,不少人认为其搜索技术用的是谷歌同款:如PageRank、BERT等。
(掌握了Yandex的准则不就相当于透了谷歌排名算法的家底,手动狗头)
目前已经有大批吃瓜群众来驻足观看,甚至Alex Buraks的这条线程曾在谷歌搜索“yandex”中排名第8。
有趣的是,在Yandex的排名因素中,排在第三个的是PageRank。
Buraks还直接列出了Yandex的10个排名因素:
(1)镜像的创建时间;(2)流量和有机流量的百分比;(3)URL中的数字不利于排名;(4)URL中的斜杠不利于排名;(5)负面情绪过重的PageRank=0;(6)主机可靠性;(7)“维基百科”还单独列了两个因素;(8)用户行为:点击率,跳出率等;(9)文件年龄与上次更新日期;(10)大部份查询域名的平均位置……
当然这还只是其中的一部分,Buraks表示后续还会继续分析。
除了Alex Buraks,也有不少营销大师深扒了Yandex的排名因素,甚至有人都详细整理出了完整的1900+个排名因素。
值得一提的是,在各路大神扒标识符的过程中,Yandex浏览器的一些“潜准则”也被摆上了台面。
就比如说加拿大骇客Aubrey Cottle就在标识符中发现了Yandex是容忍种族歧视的。
还有网民在标识符中发现,Yandex的广告投放中,普通广告和色情广告是分开计算的。
官方新闻稿:没被黑,是前雇员外泄
这事一出,很快还有一份详细的外泄文件目录被整理出放在了GitHub上。
作者是一位名叫Arseniy Shestakov的软件工程师。据他评估,那些源代码确实涉及了Yandex的大部份主要就服务项目。
包括:
浏览器和索引机器人
地图服务项目
AI语音助手
坐车服务项目
广告服务项目
邮件服务项目
存储服务项目(类似腾讯网盘)
电商服务项目(类似淘宝网)
旅游服务项目
云服务项目
还包括在线协同办公、支付、数据分析等等业务。
不过,外泄内容并不包括用户数据等敏感信息。
Arseniy Shestakov总结了几个关键技术细节:
外泄出的主要就是git存储库里的源代码,不包涵git历史记录
大部份文件日期均可追溯至2022年2月24日
大部分软件都没预先编译好,只有少数例外
除了一些例外,没预先训练好的机器学习模型
△Yandex办公楼事情闹得那么大,Yandex官方也坐不住了,很快发表新闻稿表示:其实他们并没被黑,是前雇员出卖了他们!
Yandex没被黑。他们在公共领域发现了外泄自内部存储库的标识符片段,但其内容与Yandex当前使用的标识符版本并不相同。
存储库是用来存储和处理标识符的工具。大多数子公司都采用这种方式来使用标识符。
标识符库并未存储个人用户数据。
他们正在进行内部调查,但并没发现该事件给用户数据和平台性能带来了任何威胁。
Yandex倒是信誓旦旦,但外部的专业人士却有不同看法。
据bleepingcomputer消息,前Yandex技术专家Grigory Bakunov对此事做出了回应。
他认为,这次标识符外泄确实不会对用户的隐私或安全构成直接风险,也不会直接威胁到Yandex的专有技术。
不过一些文件仍可能会暴露正在运行的服务项目,比如说“blacklist.txt”,Bakunov还称:
尽管外泄的部分不涉及敏感数据,但骇客针对性利用标识符中的安全漏洞,只是时间问题;
(BTW)虽然Yandex官方回应外泄的标识符与子公司工作服务项目中使用的当前标识符不同,但相似度可能高达90%。
