Yandex-koodivuoto paljastaa useita venäläisen hakukoneen sijoituksen yksityiskohtia

Darkcrizt

5 minuuttia

Yandex

Yandex on hakukone ja verkkoportaali

Joitakin päiviä sitten Tietoa lähes 45 Gt:n vuodosta julkaistiin venäläisistä teknologiajättiläisistä lähdekooditiedostoista "Yandex", jonka väitetään varastavan entisen työntekijän toimesta ja jotka ovat paljastaneet hakukoneen monien sovellusten ja palveluiden perusteet, joita harvoin julkistetaan.

"Yandexin git-lähteet" julkaistiin torrent-tiedostona 25. tammikuuta ja siinä näkyvät tiedostot, jotka on otettu ilmeisesti heinäkuussa 2022 ja jotka ovat peräisin helmikuusta 2022. Ohjelmistoinsinööri Arseniy Shestakov kertoo tarkistaneensa Yandexin nykyisiltä työntekijöiltä, ​​että jotkut tiedostot "sisältävät varmasti koodia yrityksen palveluista."

venäläinen teknologiayritys Yandex pyysi anteeksi, kun tästä koodista löytyi rotuun liittyviä loukkauksia lähde vuotanut sanoen, että tietomurtoa ei tapahtunut. Viime viikolla yhtiön lähdekoodista löytyi useita viittauksia rodullisiin herjauksiin, mukaan lukien "N-sana".

Ohjelmistoinsinööri Arseniy Shestakov analysoi vuotaneen Yandex Git -tietovaraston ja sanoi, että se sisältää teknisiä tietoja ja koodia seuraaville tuotteille:

  • Yandex-hakukone ja indeksointibotti
  • Yandex Maps
  • Alice (AI-avustaja)
  • Yandex taksi
  • Yandex Direct (mainospalvelu)
  • Yandex sähköposti
  • Yandex Disk (pilvitallennuspalvelu)
  • Yandexin markkinat
  • Yandex Travel (matkanvarausalusta)
  • Yandex360 (työtilapalvelu)
  • Yandex-pilvi
  • Yandex Pay (maksunkäsittelypalvelu)
  • Yandex Metrika (verkkoanalytiikka).

Shestakov jakoi myös hakemistoluettelon vuotaneista tiedostoista GitHubissa niille, jotka haluavat nähdä, mikä lähdekoodi varastettiin.

"API-avaimia on ainakin muutama, mutta niitä käytetään todennäköisesti vain toteutuksen testaamiseen", Shestakov sanoi vuotaneesta tiedosta.

Se on lausunto, Yandex sanoi, että sen järjestelmiä ei hakkeroitu ja että entinen työntekijä on vuotanut arkiston lähdekoodista:

Yandexia ei hakkeroitu. Turvapalvelumme löysi koodinpätkät sisäisestä julkisesta arkistosta, mutta sisältö poikkeaa Yandex-palveluissa käytetyn arkiston nykyisestä versiosta.

Arkisto on työkalu koodin tallentamiseen ja käsittelemiseen. Useimmat yritykset käyttävät koodia sisäisesti tällä tavalla.

Tietovarastot ovat välttämättömiä koodin kanssa työskentelemiseen, eikä niitä ole tarkoitettu henkilökohtaisten käyttäjätietojen tallentamiseen. Suoritamme sisäistä tutkimusta lähdekoodinpätkien julkisen julkaisemisen syistä, mutta emme näe uhkaa käyttäjätietoihin tai alustan suorituskykyyn.

Ennätykset ovat peräisin erityisesti helmikuusta 2022, jolloin Venäjä käynnisti täyden mittakaavan hyökkäyksen Ukrainaan. Yandexin entinen johtaja kutsui vuotoa "poliittiseksi" ja huomautti, että entinen työntekijä ei ollut yrittänyt myydä koodia Yandexin kilpailijoille. Roskapostin estokoodia ei myöskään julkistettu.

kun taas ei ole selvää, onko Yandex-lähdekoodin paljastamisella rakenteellisia tai turvallisuusvaikutuksia, Yandex-hakualgoritmin 1.922 XNUMX sijoitustekijän vuoto aiheuttaa varmasti sensaatiota.

Venäläinen teknologiayritys Yandex on pyytänyt anteeksi, koska vuotaneesta lähdekoodista löydettiin rotuun liittyviä herjauksia. Yrityksen lähdekoodista löytyi useita viittauksia rodullisiin herjauksiin. Tutkija paljasti ensimmäisen kerran loukkaavan terminologian käytön Twitterissä 26. tammikuuta kirjoitetuissa viesteissä, jotka saivat voimakasta kritiikkiä.

Yandex sanoi lausunnossaan, että alkuperäinen tutkimus osoitti, että vuotanut koodi "näyttää olevan erilaisia ​​vanhoja katkelmia kuin nykyinen versio yrityksen arkistossa". Yhtiö lisäsi, että vuotanut koodi "ei olisi koskaan vaikuttanut mihinkään yhtiön palveluihin".

"Olemme syvästi pahoillamme, että nämä sanat ovat esiintyneet sisäisissä koodeissamme", Yandex sanoi. "Tämä on mahdotonta hyväksyä ja rikkoo räikeää yritysetiikkaamme." "Suoritamme parhaillaan sisäistä arviointia ymmärtääksemme paremmin, miten tämä tapahtui, ja ryhdymme tarvittaviin toimiin, mukaan lukien varmistaaksemme, ettei näin toistu."

Vuotaneen Yandexin päälle ruiskutettiin rodullisia loukkauksia. Niitä on käytetty funktioiden ja muuttujien nimissä, painetuissa viesteissä ja muissa paikoissa asetustiedostoissa.

Kehittäjät käyttävät usein tiettyjä termejä tai nimiä auttaakseen muita kehittäjiä ymmärtämään, mitä toimintoa tai toimintoa tietty koodirivi suorittaa.

On syytä mainita se tämä ei ole ensimmäinen tällainen ongelma, jonka Yandex kohtaa, vuodesta 2015 lähtien hän näki hakukonekoodinsa katoavan, kun entinen työntekijä yritti myydä sen mustalla markkinoilla 28.000 XNUMX dollarilla rahoittaakseen oman startupnsa. Yandex-päätuotteen pääkoodin yllättävän pieni määrä viittasi siihen, että se ei ollut tietoinen sen todellisesta arvosta. Tämä työntekijä sai kahden vuoden ehdollisen vankeusrangaistuksen, eikä koodia koskaan nähty julkisesti.

Vihdoin Jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Seuraavassa linkissä.


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.