據 BleepingComputer 報導,由俄羅斯技術公司的一名前僱員竊取的 Yandex 原始程式碼已在一個流行的駭客論壇上以 Torrent 的形式被洩露。
最近洩密者發佈了一個磁力連結,他們聲稱是「Yandex git sources」,包括 2022 年 7 月從該公司竊取的 44.7GB 的檔案。據稱,這些程式碼包含了該公司除反垃圾郵件規則外的所有原始碼。
軟體工程師 Arseniy Shestakov 分析了洩露的 Yandex Git 資源庫,並表示它包含了關於以下產品的技術資料和程式碼:
-
Yandex 搜尋引擎和索引機器人
-
Yandex 地圖
-
愛麗絲(AI 助手)
-
Yandex 計程車
-
Yandex Direct (廣告服務)
-
Yandex 郵件
-
Yandex Disk (雲端儲存服務)
-
Yandex 市場
-
Yandex Travel (旅遊預訂平台)
-
Yandex360(工作空間服務)
-
Yandex 雲
-
Yandex Pay(支付處理服務)
-
Yandex Metrika(Internet分析)
在給 BleepingComputer 的一份聲明中,Yandex 說他們的系統沒有被駭,而是一個前僱員洩露了原始程式碼:「Yandex 沒有被駭。我們的安全服務在公共領域發現了內部儲存庫的程式碼片段,但內容與 Yandex 服務中使用的當前版本不同。」儲存庫是一個用於儲存和處理程式碼的工具,大多數公司都是以這種方式在內部使用程式碼。
Yandex 還稱:「儲存庫是需要用來處理程式碼的,而不是用來儲存個人使用者資料的。我們正在對洩露原因進行內部調查,但我們沒有看到對使用者資料或平台性能的任何威脅。」
據悉,這次洩漏不包含任何客戶資料,因此不構成對 Yandex 使用者隱私或安全的直接風險,也沒有直接威脅到專利技術的洩漏。
洩露的資源只包含程式碼,另一個重要部分是資料,而關鍵部分,如神經網路的模型權重等都沒有洩露,所以它幾乎沒有用。然而,洩露的程式碼為駭客創造了識別安全漏洞和建立有針對性的漏洞的可能性。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!