白俄罗斯最小的IT信息控制技术子公司众所周知Yandex的源代码库房据说遭前雇员盗取,相关统计数据已在某一盛行骇客高峰论坛上用BT种籽方式外泄。
1月25日,告密者正式发布了两个磁镜像,她们宣称这是“Yandex git 源”,当中包涵 2022 年 7 月从子公司盗取的 44.7 GB 文档。据传,那些标识符储存库包涵子公司除反流氓应用软件准则以外的大部份源代码。
应用软件技师 Arseniy Shestakov 预测了外泄的 Yandex Git 储存库 ,并则表示当中包涵相关下列商品的控制技术统计数据和标识符:
Yandex 浏览器和检索机器
Yandex 世界地图
莎拉(人工智慧现职)
Yandex 的士
Yandex Direct(电视广告服务项目)
Yandex 电子邮件
Yandex Disk(云储存服务项目)
Yandex 消费市场
Yandex Travel(旅游观光预约网络平台)
Yandex360(组织工作区服务项目)
Yandex 云
Yandex Pay(支付处理服务项目)
Yandex Metrika(互联网预测)
Shestakov 还在 GitHub 上分享了 外泄文档的目录列表, 供那些想查看哪些源代码被盗的人使用。
“至少有一些 API 密钥,但它们可能仅用于测试部署,”Shestakov 谈到外泄的统计数据时说。
在一份给媒体的声明中,Yandex 则表示她们的系统没有被骇客侵略,一名前雇员外泄了源代码储存库。
“Yandex 没有被黑。我们的安全服务项目从公共领域的外部储存库中发现了标识符片段,但内容与 Yandex 服务项目中使用的储存库的当前版本不同。
储存库是用于储存和使用标识符的工具。大多数子公司在外部以这种方式使用标识符。
需要储存库来处理标识符,而不是用于储存个人用户统计数据。我们正在对向公众正式发布源代码片段的原因进行外部调查,但我们没有发现任何对用户统计数据或网络平台性能的威胁。”- Yandex。
统计数据外泄的动机是政治性的
记者 还与 Yandex前高级系统管理员、开发副主管兼传播控制技术总监Grigory Bakunov讨论了此次泄密事件 。他对外泄的标识符非常熟悉,曾在 2002 年至 2019 年期间在这家信息控制技术巨头组织工作。
巴库诺夫解释说,统计数据外泄的动机是政治性的,负责统计数据外泄的 Yandex 雇员并未试图将标识符出售给竞争对手。
这位前高管补充说,泄漏不包涵任何客户统计数据,因此不会对 Yandex 用户的隐私或安全构成直接风险,也不会直接威胁泄漏专有控制技术。
Yandex 使用名为“Arcadia”的单一储存结构,但并非子公司的大部份服务项目都使用它。此外,即使只是构建服务项目,您也需要大量外部工具和专业知识,因为标准构建程序并不适用。
泄漏的储存库仅包涵标识符;另两个重要部分是统计数据。神经网络的模型权重等关键部分都没有,所以几乎没有用。
尽管如此,仍有许多有趣的文档,其名称如“blacklist.txt”可能会暴露正在运行的服务项目。
然而,Bakunov 告诉记者,外泄的标识符使骇客有可能识别安全漏洞并创建有针对性的漏洞利用。巴库诺夫认为,现在这只是时间问题。
这位前高管还评论了 Yandex 的回应,称外泄的标识符可能与子公司组织工作服务项目中使用的当前标识符不相同,但相似度可能高达 90%。
因此,对外泄标识符开展全面检查之后,恶意骇客很可能会从Yandex系统中发现可供利用的缺口。
