„Yandex“ yra paieškos variklis ir interneto portalas
Prieš kelias dienas buvo paskelbta informacija apie beveik 45 GB nutekėjimą iš Rusijos technologijų milžino šaltinio kodo failų "Yandex", kuriuos tariamai pavogė buvęs darbuotojas ir kurie atskleidė daugelio retai viešai atskleidžiamų paieškos variklio programų ir paslaugų pagrindus.
„Yandex git šaltiniai“ buvo išleistas kaip torrent failas sausio 25 d. ir rodo failus, kurie, matyt, buvo paimti 2022 m. liepos mėn. ir datuojami 2022 m. vasario mėn. Programinės įrangos inžinierius Arsenijus Šestakovas sako su dabartiniais „Yandex“ darbuotojais patikrinęs, kad kai kuriuose failuose „tikrai yra kodas iš įmonės paslaugas“.
Rusijos technologijų įmonė „Yandex“ atsiprašė po to, kai šiame kode buvo rasta rasinių užgauliojimų šaltinis nutekėjo, sakydamas, kad duomenų pažeidimo nebuvo. Praėjusią savaitę įmonės šaltinio kode buvo rasta keletas nuorodų į rasinius užgauliojimus, įskaitant „N žodį“.
Programinės įrangos inžinierius Arsenijus Šestakovas išanalizavo nutekintą „Yandex Git“ saugyklą ir teigė, kad joje yra šių produktų techniniai duomenys ir kodas:
- „Yandex“ paieškos variklis ir indeksavimo robotas
- „Yandex“ žemėlapiai
- Alisa (AI padėjėja)
- „Yandex Taxi“
- „Yandex Direct“ (skelbimų paslauga)
- „Yandex“ paštas
- „Yandex Disk“ (saugojimo debesyje paslauga)
- Yandex rinka
- „Yandex Travel“ (kelionių užsakymo platforma)
- „Yandex360“ (darbo vietos paslauga)
- „Yandex“ debesis
- „Yandex Pay“ (mokėjimų apdorojimo paslauga)
- „Yandex Metrika“ (žiniatinklio analizė).
Shestakovas taip pat pasidalijo „GitHub“ nutekėjusių failų katalogu tiems, kurie nori pamatyti, koks šaltinio kodas buvo pavogtas.
„Yra bent keli API raktai, bet jie tikriausiai naudojami tik įgyvendinimui išbandyti“, – apie nutekėjusius duomenis kalbėjo A.Šestakovas.
Tai pareiškimas, „Yandex“ teigė, kad jos sistemos nebuvo įsilaužtos, o buvęs darbuotojas nutekino saugyklą iš šaltinio kodo:
„Yandex“ nebuvo nulaužtas. Mūsų saugos tarnyba rado kodo fragmentus iš vidinės viešojo domeno saugyklos, tačiau turinys skiriasi nuo dabartinės „Yandex“ paslaugose naudojamos saugyklos versijos.
Saugykla yra kodo saugojimo ir darbo su juo įrankis. Kodą tokiu būdu viduje naudoja dauguma įmonių.
Saugyklos yra būtinos darbui su kodu ir nėra skirtos asmeniniams vartotojo duomenims saugoti. Atliekame vidinį tyrimą dėl viešo šaltinio kodo fragmentų išleidimo priežasčių, tačiau nematome jokios grėsmės naudotojų duomenims ar platformos veikimui.
Įrašai datuojami 2022 m. vasario mėn., kai Rusija pradėjo plataus masto invaziją į Ukrainą. Buvęs „Yandex“ vadovas nutekėjimą pavadino „politiniu“ ir pažymėjo, kad buvęs darbuotojas nebandė parduoti kodo „Yandex“ konkurentams. Antispam kodas taip pat nebuvo atskleistas.
Nors neaišku, ar „Yandex“ šaltinio kodo atskleidimas turi struktūrinių ar saugumo pasekmių, 1.922 reitingavimo faktorių nutekėjimas „Yandex“ paieškos algoritme tikrai sukelia sensaciją.
Rusijos technologijų įmonė „Yandex“ atsiprašė, kai nutekintame šaltinio kode buvo rasta rasinių užgauliojimų. Įmonės šaltinio kode buvo rasta keletas nuorodų į rasinius užgauliojimus. Tyrėjas pirmą kartą atskleidė įžeidžiančios terminijos vartojimą tviteryje sausio 26 d. paskelbtuose įrašuose, sulaukdamas griežtos kritikos.
„Yandex“ pranešime teigė, kad pradinis tyrimas parodė, kad nutekintas kodas „atrodo, kad tai skiriasi nuo dabartinės versijos įmonės saugykloje“. Bendrovė pridūrė, kad nutekintas kodas „niekada nebūtų paveikęs jokios bendrovės paslaugos“.
„Labai apgailestaujame, kad šie žodžiai atsirado mūsų vidiniuose koduose“, – sakė „Yandex“. „Tai nepriimtina ir akivaizdus mūsų įmonės etikos pažeidimas. „Šiuo metu atliekame vidinę peržiūrą, kad geriau suprastume, kaip tai atsitiko, ir imsimės atitinkamų veiksmų, įskaitant siekdami užtikrinti, kad tai nepasikartotų.
Ant nutekėjusio „Yandex“ buvo apipurkšti rasiniai šmeižtai. Jie buvo naudojami funkcijų ir kintamųjų pavadinimuose, spausdintuose pranešimuose ir kitose konfigūracijos failų vietose.
Kūrėjai dažnai naudoja konkrečius terminus ar pavadinimus, kad padėtų kitiems kūrėjams suprasti, kokią funkciją ar veiksmą atlieka tam tikra kodo eilutė.
Verta tai paminėti tai ne pirma tokia problema, su kuria susiduria „Yandex“, nuo 2015 m. jis pamatė, kad jo paieškos variklio kodas dingo, kai buvęs darbuotojas bandė jį parduoti juodojoje rinkoje už 28.000 XNUMX USD, kad finansuotų savo startą. Stebėtinai mažas pagrindinio „Yandex“ produkto kodo skaičius leido manyti, kad jis nežinojo tikrosios jo vertės. Šis darbuotojas gavo dvejų metų lygtinę bausmę, o kodas niekada nebuvo viešai matomas.
Pagaliau Jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.