ロシアのテクノロジー企業の元従業員が盗んだとされる Yandex のソース コード リポジトリが、人気のあるハッキング フォーラムで Torrent として流出しました。
昨日、リーカーは、2022 年 7 月に会社から盗まれた 44.7 GB のファイルで構成される「Yandex git ソース」であると彼らが主張するマグネット リンクを投稿しました。
ソフトウェア エンジニアの Arseniy Shestakov 氏は、流出した Yandex Git リポジトリを分析し、次の製品に関する技術データとコードが含まれていると述べました。
- Yandex 検索エンジンとインデックス作成ボット
- Yandex マップ
- アリス(AIアシスタント)
- ヤンデックスタクシー
- Yandex Direct(広告サービス)
- Yandexメール
- Yandex Disk(クラウドストレージサービス)
- ヤンデックス マーケット
- Yandex Travel (旅行予約プラットフォーム)
- Yandex360 (ワークスペース サービス)
- ヤンデックスクラウド
- Yandex Pay(決済代行サービス)
- Yandex Metrika (インターネット分析)
シェスタコフ氏は、流出したファイルのディレクトリ リストをGitHub で共有し、どのソース コードが盗まれたかを確認したいと考えています。
「少なくともいくつかの API キーは存在しますが、それらは展開のテストのみに使用された可能性が高いです」と Shestakov 氏は漏えいしたデータについて語っています。
への声明の中で、Yandex はシステムがハッキングされておらず、元従業員がソース コード リポジトリを漏らしたと述べました。
「Yandex はハッキングされていません。当社のセキュリティ サービスは、パブリック ドメインの内部リポジトリからコード フラグメントを検出しましたが、コンテンツは Yandex サービスで使用されているリポジトリの現在のバージョンとは異なります。
リポジトリは、コードを保存して操作するためのツールです。コードは、ほとんどの企業で内部的にこのように使用されています。
リポジトリはコードを操作するために必要であり、個人のユーザー データの保存を目的としたものではありません。ソースコードの断片を公開した理由について内部調査を行っていますが、ユーザーデータやプラットフォームのパフォーマンスに対する脅威は見られません.” – Yandex.
ハッカーへの暴露
また、Yandex の元上級システム管理者であり、開発副責任者であり、技術普及のディレクターであるGrigory Bakunovとリークについて話し合った。 2002 年から 2019 年までテック大手で働いていた彼は、流出したコードに精通しています。
バクノフ氏は、データ漏洩の動機は政治的なものであり、データ漏洩の責任者である不正な Yandex の従業員は、競合他社にコードを販売しようとしたわけではないと説明しました。
元上級幹部は、リークには顧客データが含まれていないため、Yandex ユーザーのプライバシーやセキュリティに対する直接的なリスクにはならず、独自の技術をリークする直接の脅威にもならないと付け加えました。
Yandex は「Arcadia」と呼ばれるモノレポ構造を使用していますが、同社のすべてのサービスがそれを使用しているわけではありません。また、サービスを構築するだけでも、標準的な構築手順が適用されないため、多くの内部ツールと特別な知識が必要です。
リークされたリポジトリにはコードのみが含まれています。もう 1 つの重要な部分はデータです。ニューラル ネットワークのモデルの重みなどの重要な部分がないため、ほとんど役に立ちません。
それでも、「blacklist.txt」のような名前の興味深いファイルがたくさんあり、稼働中のサービスを公開する可能性があります。
しかし、バクノフ氏は、漏洩したコードにより、ハッカーがセキュリティのギャップを特定し、標的を絞ったエクスプロイトを作成する可能性があると語った.バクノフ氏は、これは時間の問題だと考えています。
元幹部はまた、Yandex の対応についてコメントし、漏洩したコードは同社の作業サービスで使用されている現在のコードと同一ではない可能性があるが、最大 90% 類似している可能性があると述べました。
したがって、漏えいしたコードを徹底的に調べると、攻撃者にとって Yandex の潜在的な弱点が明らかになる可能性があります。
コメント