事件概述

俄罗斯科技巨头 Yandex 近日遭遇重大源代码泄露事件。一名前雇员在某知名黑客论坛上,通过 Torrent 磁链形式 公开了 总量达 44.7GB 的源代码仓库。

Yandex.png

据泄露者声称,这批名为 Yandex git sources 的数据系于 2022 年 7 月从公司内部窃取,涵盖了除反垃圾邮件规则外的几乎所有源代码。

泄露内容分析

软件工程师 Arseniy Shestakov 对泄露的 Git 仓库进行了初步 分析,确认其中包含了以下核心产品的技术数据与源代码:

  • Yandex 搜索引擎和索引机器人
  • Yandex 地图
  • Alice(人工智能助理)
  • Yandex Taxi
  • Yandex Direct(广告服务)
  • Yandex 邮件
  • Yandex Disk(云存储服务)
  • Yandex Market
  • Yandex Travel(旅游预订平台)
  • Yandex360(Workspace 服务)
  • Yandex Cloud
  • Yandex Pay(支付处理服务)
  • Yandex Metrika(互联网分析)

完整的泄露文件目录清单可参见:GitHub Gist

官方回应与安全影响

针对此次事件,Yandex 在向媒体发布的声明中 表示,他们的系统并未遭到黑客入侵,源代码仓库系由一名前雇员泄露。公司目前未发现此次事件对用户数据或平台性能造成任何威胁。

尽管官方声称风险可控,但安全研究人员指出,此次泄露的代码将使黑客有可能识别出潜在的安全漏洞,并创建有针对性的漏洞利用工具,大规模的安全风险暴露可能只是时间问题。

说明:本文所述事件发生于 2023 年初,相关链接与分析基于当时的公开信息。