整理 | 屠敏

出品 | CSDN（ID：CSDNnews）

據外媒 BleepingComputer 報道，俄羅斯科技巨頭 Yandex 原始碼儲存庫慘遭洩露，在一個主流的駭客論壇上，該原始碼庫被以 Torrent 磁鏈的方式對外呈現。

不過，Yandex 在一份宣告中表示，自家公司並不是遭到了駭客攻擊，而是一名員工從中作梗，最終這名員工也變成了“前任”。

Yandex 所有主要服務的原始碼遭洩露

Yandex 這家公司，想必不少人也並不陌生，它是俄羅斯最大的 IT 公司之一。其提供的服務要比國外的 Google、國內的百度或阿里騰訊要多得多，對此，也有人評價道，可以想象一下，一家公司可以取代 Google、Uber、亞馬遜、Netflix 和 Spotify 是什麼概念。

在駭客網站上，洩密者標註了一個名為 Yandex git sources 的檔案，其中暗藏 Yandex 多款服務的原始碼，具體包括了 2022 年 7 月洩露者從該公司竊取的 44。7GB 的檔案，而這些程式碼庫覆蓋除了 Yandex 反垃圾郵件規則外的所有原始碼。

對此，國外一位軟體工程師 Arseniy Shestakov 綜合了所有公開資訊，進一步分析了 Yandex 服務原始碼內容，最終有了一些新的發現。其表示，“看起來至少 Yandex 所有主要服務的原始碼都被洩露了。”

具體包括：

Yandex 搜尋引擎和索引機器人

Yandex 地圖

Alice（AI 語音助手）

Yandex 計程車服務

Yandex 定向（廣告服務）

Yandex 郵件

Yandex Disk（雲端儲存服務）

Yandex 市場服務（有些類似於亞馬遜）

Yandex 旅行服務（旅遊預訂平臺）

Yandex360（工作空間服務）

Yandex 雲服務

Yandex Pay（支付處理服務）

Yandex Metrika（網際網路分析服務）

此次資料洩露的規模有些超乎想象。與此同時，據 Arseniy Shestakov 深挖發現，所有洩露檔案的日期都可以追溯到 2022 年 2 月 24 日。

程式碼解析

稍微值得慶幸的是，這些檔案主要是儲存庫的內容，不包含 git 歷史記錄，且大多數軟體沒有預構建的二進位制檔案，只有少數例外。因此，這次洩露的資訊沒有個人資料，此外，沒有內部工具的程式碼本身也不太可能完全重現出一些 Yandex 的服務。

不過，有一些開發者倒是從洩露的原始碼中發現了一些不同之處。來自加拿大的一名駭客 Aubrey Cottle 注意到，透過 Yandex 洩露的程式碼檔案顯示，該搜尋平臺包容種族主義，透過一些程式碼就可以顯而易見。

Yandex 緊急迴應

據網友統計，Yandex 此次洩露的檔案包含了公司 79 個服務和專案的程式碼。面對如此大規模的洩露事件，Yandex 也快速地進行了迴應，其發言人 Polina Pestova 表示：

Yandex 沒有被駭客入侵。我們的安全服務發現了公開可用的內部儲存程式碼片段，但是它們的內容與 Yandex 服務中使用的當前儲存庫版本不同。

儲存庫是用於儲存和處理程式碼的工具，大多數公司在內部都是以這種方式使用程式碼。儲存庫是處理程式碼所必需的方式，而不是用於儲存個人使用者資料。我們正在對向公眾釋出原始碼片段的原因進行內部調查，但我們沒有看到對使用者資料或平臺效能的任何威脅。

不過據 BleepingComputer 報道，Yandex 前高階系統管理員、開發副主管兼傳播技術總監 Grigory Bakunov 在探討這一次的洩漏事件時表示，資料洩露的動機是政治性的，好在此次涉及資料洩露的 Yandex 員工並沒有試圖將程式碼出售給競爭對手。

這位前高管補充道，洩漏不包含任何客戶資料，因此不會對 Yandex 使用者的隱私或安全構成直接風險，也不會直接威脅洩漏專有技術。

Yandex 使用一種名為為“Arcadia”的單儲存庫結構，但並非所有公司的服務都使用它。此外，即使只是為了構建服務，開發者也需要大量的內部工具和專業知識，因為標準的構建過程不適用。

洩露的儲存庫僅包含程式碼；另一個重要部分是資料。關鍵部分，如神經網路的模型權重等，都不存在，所以它幾乎沒用。

儘管如此，還是有很多有趣的檔案，如一個名為“blacklist。txt”的檔案，可能會暴露 Yandex 的工作服務。

當然，不容忽視的是，駭客還是可以利用這些原始碼來尋找 Yandex 服務的漏洞等。

科技公司如何防止內部員工背後的“小動作”？

此次由內部員工引發的洩露事件一經披露，也引發了不少科技公司的警覺。畢竟近幾年來，內部員工“刪庫跑路”早已屢見不鮮，一旦遇上，雖然可以追責，但對公司自身的發展帶來的傷害和損失在一定層面已經無法挽回，因此，如何從內部儘可能地減少此類事件的發生，也成為各家企業頗為關注的問題。

在此，一位開發者 Frank Forte 也從安全性限制方面總結了幾點建議，希望對大家有所裨益：

一、限制工程師、運維等崗位員工對程式碼的訪問。

企業可以設定單獨的程式碼儲存庫，只允許員工訪問他們需要檢視和處理的部分程式碼。或許也可以為此使用 Bitbucket（基於 Web 的版本庫託管服務）之類的東西，然後在每個 repo 上設定許可權。

然後企業可以編寫指令碼將不同的儲存庫組合成最終產品。

這將方便企業便於管理，能夠使敏感程式碼遠離新員工或外包人才。

不幸的是，如果公司的程式碼是緊密耦合的，這幾乎是不可能的，因為大部分程式碼需要成為正在構建或測試的專案的一部分。

分割程式碼並不能防止程式碼洩露，但它確實在一定程度上起到限制作用。

二、擬定強有力的員工合同

透過一份完善的員工合同，可以阻止員工洩露程式碼。因為一旦涉及到洩密，可能會被抓捕、起訴，還可能會限制未來的工作前景，因為沒有公司會希望自己招聘的新員工被波及到一些因專有程式碼而被起訴的案件中。

三、有明確的員工政策

讓公司內部員工清楚地瞭解什麼是“洩漏程式碼”。在 Stack Overflow 等論壇上釋出大量程式碼以獲得幫助可能會無意中洩露資訊。告訴他們不要這樣做，並對這樣做的處罰。

四、登入並維護許可權和訪問許可權

企業內部管理層應該及時瞭解工程師誰有權訪問以及他們何時有權訪問一些系統。當工程師不再需要相關係統許可權時，應立即刪除訪問許可權。

當然，以上僅是從一些大的維度來分享一些防禦措施，更為關鍵的是還是需要企業自身學會識人、用人，對此，你還有什麼樣的防禦建議，歡迎留言分享~~

參考連結：

https：//www。quora。com/How-do-tech-companies-make-sure-that-employees-can-t-steal-or-leak-their-source-code

https：//www。bleepingcomputer。com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/

https：//arseniyshestakov。com/2023/01/26/yandex-services-source-code-leak/

《2022-2023 中國開發者大調查》重磅啟動，歡迎掃描下方二維碼，參與問卷調研，更有 iPad 等精美大禮等你拿！