Yandex大规模源代码泄露

南方财经全媒体记者 吴立洋 上海报道

近日,一个声称包含俄罗斯互联网巨头Yandex 44.7GB源代码的磁力链接被发布在海外的黑客论坛上,发布者表示,链接中的代码库包含了Yandex公司除垃圾邮件规则外的全部源代码。

作为一家业务涵盖搜索引擎、电商、电子邮件、地图与打车、在线协同办公等多个领域,用户数位居俄罗斯之首的企业,Yandex是毋庸置疑的互联网巨头,因而源代码链接一经放出就受到社会广泛关注。

Yandex很快对泄露事件进行了回应,其表示,数据被盗的原因并非是遭到网络攻击,而是因为一名前员工泄露了源代码库。此外,Yandex还强调本次泄露不包含任何客户数据,因此不构成对用户隐私或安全的直接风险。

但有也业内人士指出,因为调试日志等信息也会包含在源代码中,黑客在脱源代码库时大概率会包含生产环境,进而拿到服务生产环境的最高权限,一旦由此发现服务器后门,也并不能排除用户数据或个人信息因此被盗的风险。

被忽视的内网安全

在Yandex发布的声明中,其重点就三方面问题进行了解答,除了前文提到的泄露来源和个人信息问题外,Yandex还表示,泄露的源代码版本与其当前使用的版本并不相同,出自用于处理代码的存储库,不会对用户数据或平台性能造成任何威胁。

“存储库是一个用于存储和处理代码的工具,大部分公司都采用这种方式在内部处理代码。”其补充表示。

梆梆安全服务中心实验室负责人吴建平告诉记者,按照目前公开的信息,本次Yandex源代码泄露是一起典型的内部安全事件,由于当前很多企业的内网安全建设都只针对外来攻击者,缺乏内网管控方面的员工管理措施或安全设备,因此导致Yandex发生泄露的风险因素在其他企业中也大规模存在。

而Yandex提到的前员工泄露源代码数据库,也并不一定是该员工使用本人内部权限完成的,存在该员工盗取其他能够接触到如此大规模源代码的员工账号密码或口令,从而盗取数据的可能。

虽然Yandex极力强调本次被公开的源代码和当前使用的代码版本并不相同,但多位安全业内人士在评价泄漏事件时指出,鉴于被泄露的文件日期显示为2022年2月24日,两个版本代码间的差异不会太大。前Yandex技术专家Grigory Bakunov在接受媒体采访时表示,二者的相似度“可能高达90%”。

在此背景下,黑客依然能够根据泄露的代码数据寻找Yandex产品的安全漏洞,进而威胁Yandex及其合作商和用户。

吴建平表示,一方面,对于与Yandex合作的ToB供应商,源代码中的API接口部分可能存在网络密钥,而黑产可以调取这些密钥来对该供应商数据进行横向移动,甚至发起对云存储服务器的脱库攻击;另一方面,对于个人用户,源代码中有关机器学习的核心源代码也可能被用于分析Yandex的用户模型,从而发起对用户的定向投喂和攻击。

他进一步指出,因为调试日志等信息也会包含在源代码中,黑客在对源代码进行脱库时大概率会包含生产环境,进而拿到服务生产环境的最高权限,一旦由此发现服务器后门,也不能排除用户数据或个人信息因此被盗的风险。

Bakunov也在回应相关问题时指出,尽管被泄露的文件不涉及敏感数据,但黑客针对性利用代码中的安全漏洞只是时间问题。

很多公司在发生泄露事件后为了降低影响面,所以对外表示只是源代码泄露,不涉及个人数据,但用户面临的安全风险并不能因此而排除。”吴建平说。

多重风险

事实上,近年来已有多家公司发生过源代码泄露事件:

2019年,哔哩哔哩的后台源代码被上传至GitHub,其中包含部分用户名及密码信息,随后B站紧急回应称泄露代码系较老历史版本,不会影响网站安全和用户数据安全;2020年,微软、Adobe、联想、华为、小米等多家企业旗下产品源代码被逆向工程师Tillie Kottmann汇总并发布于GitLab,虽然发布者表示其目的是为了引起企业关注降低安全风险,但也有多位业内人士指责其加剧了企业机密信息被窃取的风险;2022年3月,微软遭黑客入侵,Bing、Cortana等项目源代码被泄露,微软回应称有一个账户被盗用,但安全问题并不严重;10月,丰田汽车公司远程车载信息通信服务应用程序T-Connect源代码被盗取,并因此导致近30万用户信息泄露;今年1月,知名游戏厂商拳头公司旗下产品《英雄联盟》源代码被发布在黑客论坛售卖,拳头方面证实数据遭到窃取,但表示并没有玩家数据或个人信息遭到泄露……

法国安全厂商CybelAngel发布的研究成果显示,由于项目数量的提升和开发人员的短缺,越来越多的软件开发商选择外包开发项目,2020至2021年间GitHub上创建的新的公共存储库增加了47.3%,但也导致源代码泄露事件增加了66%。

而这些源代码泄露案件,大部分原因都并非黑客外部入侵,而是因为内网安全防护的缺位。源代码一旦遭到泄露,则往往伴随着外部入侵风险加大、竞争对手模仿针对、用户信息泄露、供应商安全风险加大等次生问题,加强内网安全建设已成为亟待行业加强的“安全短板”所在。

吴建平认为,做好内网安全防护需要从人员素质、管理配置两方面入手。

首先,“人才是最弱的安全点”,要做好对员工的安全教育,推广强密码,提升反钓鱼意识;其次,当前很多公司虽然配备了防火墙等安全防护手段,但缺乏专门的团队或人员进行监控和维护,在安全攻防动态化的大趋势下,无论是硬件还是人员管理都需要更加灵活,以应对多变的内外部威胁。

打开APP阅读更多精彩内容