俄羅斯科技巨頭Yandex幾乎所有產(chǎn)品的源代碼被泄露，公司稱是前員工所為

IT之家 1月28日消息，據(jù)BleepingComputer報道，由俄羅斯技術公司的一名前雇員竊取的Yandex源代碼庫已在一個流行的黑客論壇上以Torrent的形式被泄露。

昨天，泄密者發(fā)布了一個磁力鏈接，他們聲稱是“Yandex git sources”，包括2022年7月從該公司竊取的44.7GB的文件。據(jù)稱，這些代碼庫包含了該公司除反垃圾郵件規(guī)則外的所有源代碼。

軟件工程師Arseniy Shestakov分析了泄露的Yandex Git資源庫，并表示它包含了關于以下產(chǎn)品的技術數(shù)據(jù)和代碼：

·Yandex搜索引擎和索引機器人

·Yandex地圖

·愛麗絲（AI助手）

·Yandex出租車

·Yandex Direct（廣告服務）

·Yandex郵件

·Yandex Disk（云存儲服務）

·Yandex市場

·Yandex Travel（旅游預訂平臺）

·Yandex360（工作空間服務）

·Yandex云

·Yandex Pay（支付處理服務）

·Yandex Metrika（互聯(lián)網(wǎng)分析）

IT之家了解到，在給BleepingComputer的一份聲明中，Yandex說他們的系統(tǒng)沒有被黑，一個前雇員泄露了源代碼庫：“Yandex沒有被黑。我們的安全服務在公共領域發(fā)現(xiàn)了內(nèi)部存儲庫的代碼片段，但內(nèi)容與Yandex服務中使用的存儲庫的當前版本不同。”存儲庫是一個用于存儲和處理代碼的工具，大多數(shù)公司都是以這種方式在內(nèi)部使用代碼。

Yandex還稱：“存儲庫是需要用來處理代碼的，而不是用來存儲個人用戶數(shù)據(jù)的。我們正在對泄露原因進行內(nèi)部調(diào)查，但我們沒有看到對用戶數(shù)據(jù)或平臺性能的任何威脅?！?/p>

據(jù)悉，這次泄漏不包含任何客戶數(shù)據(jù)，因此不構成對Yandex用戶隱私或安全的直接風險，也沒有直接威脅到專利技術的泄漏。

泄露的資源庫只包含代碼，另一個重要部分是數(shù)據(jù)，而關鍵部分，如神經(jīng)網(wǎng)絡的模型權重等都沒有泄露，所以它幾乎沒有用。然而，泄露的代碼為黑客創(chuàng)造了識別安全漏洞和創(chuàng)建有針對性的漏洞的可能性。