南方財經全媒體記者 吳立洋 上海報道

近日，一個聲稱包含俄羅斯網際網路巨頭Yandex 44。7GB原始碼的磁力連結被髮布在海外的駭客論壇上，釋出者表示，連結中的程式碼庫包含了Yandex公司除垃圾郵件規則外的全部原始碼。

作為一家業務涵蓋搜尋引擎、電商、電子郵件、地圖與打車、線上協同辦公等多個領域，使用者數位居俄羅斯之首的企業，Yandex是毋庸置疑的網際網路巨頭，因而原始碼連結一經放出就受到社會廣泛關注。

Yandex很快對洩露事件進行了迴應，其表示，資料被盜的原因並非是遭到網路攻擊，而是因為一名前員工洩露了原始碼庫。此外，Yandex還強調本次洩露不包含任何客戶資料，因此不構成對使用者隱私或安全的直接風險。

但有也業內人士指出，因為除錯日誌等資訊也會包含在原始碼中，駭客在脫原始碼庫時大機率會包含生產環境，進而拿到服務生產環境的最高許可權，

一旦由此發現伺服器後門，也並不能排除使用者資料或個人資訊因此被盜的風險。

被忽視的內網安全

在Yandex釋出的宣告中，其重點就三方面問題進行了解答，除了前文提到的洩露來源和個人資訊問題外，Yandex還表示，洩露的原始碼版本與其當前使用的版本並不相同，出自用於處理程式碼的儲存庫，不會對使用者資料或平臺效能造成任何威脅。

“儲存庫是一個用於儲存和處理程式碼的工具，大部分公司都採用這種方式在內部處理程式碼。”其補充表示。

梆梆安全服務中心實驗室負責人吳建平告訴記者，按照目前公開的資訊，本次Yandex原始碼洩露是一起典型的內部安全事件，由於當前很多企業的內網安全建設都只針對外來攻擊者，缺乏內網管控方面的員工管理措施或安全裝置，因此導致Yandex發生洩露的風險因素在其他企業中也大規模存在。

而Yandex提到的前員工洩露原始碼資料庫，也並不一定是該員工使用本人內部許可權完成的，存在該員工盜取其他能夠接觸到如此大規模原始碼的員工賬號密碼或口令，從而盜取資料的可能。

雖然Yandex極力強調本次被公開的原始碼和當前使用的程式碼版本並不相同，但多位安全業內人士在評價洩漏事件時指出，鑑於被洩露的檔案日期顯示為2022年2月24日，兩個版本程式碼間的差異不會太大。

前Yandex技術專家Grigory Bakunov在接受媒體採訪時表示，二者的相似度“可能高達90%”。

在此背景下，駭客依然能夠根據洩露的程式碼資料尋找Yandex產品的安全漏洞，進而威脅Yandex及其合作商和使用者。

吳建平表示，一方面，對於與Yandex合作的ToB供應商，原始碼中的API介面部分可能存在網路金鑰，而黑產可以調取這些金鑰來對該供應商資料進行橫向移動，甚至發起對雲端儲存伺服器的脫庫攻擊；另一方面，對於個人使用者，原始碼中有關機器學習的核心原始碼也可能被用於分析Yandex的使用者模型，從而發起對使用者的定向投餵和攻擊。

他進一步指出，因為除錯日誌等資訊也會包含在原始碼中，駭客在對原始碼進行脫庫時大機率會包含生產環境，進而拿到服務生產環境的最高許可權，

一旦由此發現伺服器後門，也不能排除使用者資料或個人資訊因此被盜的風險。

Bakunov也在迴應相關問題時指出，儘管被洩露的檔案不涉及敏感資料，但駭客針對性利用程式碼中的安全漏洞只是時間問題。

“

很多公司在發生洩露事件後為了降低影響面，所以對外表示只是原始碼洩露，不涉及個人資料，但使用者面臨的安全風險並不能因此而排除。”

吳建平說。

多重風險

事實上，近年來已有多家公司發生過原始碼洩露事件：

2019年，嗶哩嗶哩的後臺原始碼被上傳至GitHub，其中包含部分使用者名稱及密碼資訊，隨後B站緊急迴應稱洩露程式碼系較老歷史版本，不會影響網站安全和使用者資料安全；2020年，微軟、Adobe、聯想、華為、小米等多家企業旗下產品原始碼被逆向工程師Tillie Kottmann彙總併發佈於GitLab，雖然釋出者表示其目的是為了引起企業關注降低安全風險，但也有多位業內人士指責其加劇了企業機密資訊被竊取的風險；2022年3月，微軟遭駭客入侵，Bing、Cortana等專案原始碼被洩露，微軟迴應稱有一個賬戶被盜用，但安全問題並不嚴重；10月，豐田汽車公司遠端車載資訊通訊服務應用程式T-Connect原始碼被盜取，並因此導致近30萬用戶資訊洩露；今年1月，知名遊戲廠商拳頭公司旗下產品《英雄聯盟》原始碼被髮布在駭客論壇售賣，拳頭方面證實資料遭到竊取，但表示並沒有玩家資料或個人資訊遭到洩露……

法國安全廠商CybelAngel釋出的研究成果顯示，由於專案數量的提升和開發人員的短缺，越來越多的軟體開發商選擇外包開發專案

，2020至2021年間GitHub上建立的新的公共儲存庫增加了47.3%，但也導致原始碼洩露事件增加了66%。

而這些原始碼洩露案件，大部分原因都並非駭客外部入侵，而是因為內網安全防護的缺位。

原始碼一旦遭到洩露，則往往伴隨著外部入侵風險加大、競爭對手模仿針對、使用者資訊洩露、供應商安全風險加大等次生問題，加強內網安全建設已成為亟待行業加強的“安全短板”所在。

吳建平認為，做好內網安全防護需要從人員素質、管理配置兩方面入手。

首先，“人才是最弱的安全點”，要做好對員工的安全教育，推廣強密碼，提升反釣魚意識；其次，當前很多公司雖然配備了防火牆等安全防護手段，但缺乏專門的團隊或人員進行監控和維護，在安全攻防動態化的大趨勢下，無論是硬體還是人員管理都需要更加靈活，以應對多變的內外部威脅。

更多內容請下載21財經APP