Kiszivárogtak a Yandex forráskódjai egy hacker fórumon

Néhány Yandex-projekt forráskódja és rangsorolási tényezője kiszivárgott a világhálóra. A vállalat megerősítette a hírt és vizsgálatot indított.

A Yandex egy nagy keresőoldal, amelyet „orosz Google”-nek is neveznek, és a Google-hoz hasonlóan számos szolgáltatást kínál, például térképes keresést, e-mail szolgáltatást és AI asszisztenst. Azonban 2023. január 25-én egy borderline2023 nevű hacker kijelentette, hogy megszerezte a Yandex 44,71 GB-os Git-tárát. Bár a borderline2023 által megszerzett adatok nem tartalmaztak felhasználói adatokat, arról beszéltek, hogy nagy mennyiségű adatot tartalmazott a Yandex szolgáltatásairól.

A Yandex tagadta, hogy feltörték volna, és azt állította, hogy egy korábbi alkalmazott szivárogtatta ki

Bár a szivárgás csak Git-tárakat tartalmaz, személyes adatokat nem, néhány API-kulcs elszórtan található a kódban. Arseniy Shestakov szoftvermérnök szerint az adattár a Yandex által kínált összes főbb szolgáltatás forráskódját tartalmazza, ennek ellenére úgy véli, hogy ezek valószínűleg csak tesztelési célú telepítésekre szolgálnak, ami azt jelenti, hogy nem okozhatnak nagy kárt, ha rossz kezekbe kerülnek.

A kiszivárogtató posztja szerint a torrent magnet linkje a Yandex Git forrásait tartalmazza, és 44,7 GB méretű. Azt állítják, hogy a fájlokat 2022 júliusában lopták el, bár Shestakov azt állítja, hogy minden fájl 2022. február 24-re datálódik. Emellett nem tartalmaz Git-előzményeket, előre elkészített binárisokat vagy előre betanított ML-módokat, néhány kivételtől eltekintve.

Borderline2023 a megszerzett adatokat a megszerzéséről szóló nyilatkozattal egy időben tette közzé. Shestakov szoftvermérnök által végzett elemzésének eredményeként kiderült, hogy a kiszivárgott adatok a következő Yandex szolgáltatások forráskódját tartalmazzák.

・Yandex keresőmotor és indexelő bot
・Maps (térképes keresőszolgáltatás)
・Alice (mesterséges intelligencia asszisztens)
・Taxi (diszpécserszolgálat)
・Direct (hasonló hirdetési rendszer)
・Mail (ingyenes e-mail szolgáltatás)
・Disk (felhőalapú tárhelyszolgáltatás)
・Market (online bolt)
・Travel (utazást támogató szolgáltatás)
・Yandex360 (olyan szolgáltatás, amely a Yandex szolgáltatásait saját domainjén teszi elérhetővé)
・Metrika (weboldal látogatóelemző eszköz)

A fenti szolgáltatások mellett a „Pay” fizetési szolgáltatás és a „Cloud” felhőalapú számítástechnikai szolgáltatás forráskódjának egy része is megerősítést nyert, hogy kiszivárgott. Shestakov a GitHub oldalon közzéteszi a kiszivárgott fájlok listáját is.

Tekintettel arra, hogy a behatoló nem tette közzé a kiszivárgott kódot, lehetséges, hogy a betörés politikai indíttatású. Továbbá a kiszivárgás nem tartalmaz ügyféladatokat, neurális hálózatok modellsúlyait vagy más érzékeny információkat, a kódfejtők számára nem hasznos. A forráskódhoz való hozzáférés azt jelentheti, hogy a hackerek visszafejthetik ezeket a szolgáltatásokat, hogy megtalálják és kihasználják a korábban ismeretlen sebezhetőségeket.