Yandex大规模源代码泄露背后：被盗内容不包含用户数据就能清除个人信息安全风险吗？

南方财经全媒体记者 吴立洋 上海报道

近日，一个声称包含俄罗斯互联网巨头Yandex 44.7GB源代码的磁力链接被发布在海外的黑客论坛上，发布者表达，链接中的代码库包含了Yandex公司除垃圾邮件规则外的全部源代码。

作为一家业务涵盖搜索引擎、电商、电子邮件、地图与打车、在线协同办公等多个领域，用户数位居俄罗斯之首的企业，Yandex是毋庸置疑的互联网巨头，因而源代码链接一经放出就受到社会广泛关注。

Yandex很快对泄露事件进行了回应，其表达，数据被盗的原因并非是遭到网络进攻，而是因为一名前员工泄露了源代码库。此外，Yandex还强调本次泄露不包含任何客户数据，因此不构成对用户隐私或安全的直接风险。

但有也业内人士指出，因为调试日志等信息也会包含在源代码中，黑客在脱源代码库时可能率会包含生产环境，进而拿到服务生产环境的最高权限，一旦由此发现服务器后门，也并不能清除用户数据或个人信息因此被盗的风险。

被漠视的内网安全

在Yandex发布的声明中，其重点就三方面问题进行了解答，除了前文提到的泄露来源和个人信息问题外，Yandex还表达，泄露的源代码版本与其当前使用的版本并不相同，出自用于处理代码的存储库，不会对用户数据或平台性能造成任何威逼。

“存储库是一个用于存储和处理代码的工具，大部分公司都摘用这种方式在内部处理代码。”其弥补表达。

梆梆安全服务中心实验室负责人吴建平告诉记者，按照目前公开的信息，本次Yandex源代码泄露是一起典型的内部安全事件，由于当前很多企业的内网安全建设都只针对外来进攻者，短缺内网管控方面的员工治理措施或安全设备，因此导致Yandex发生泄露的风险因素在其他企业中也大规模存在。

而Yandex提到的前员工泄露源代码数据库，也并不一定是该员工使用本人内部权限完成的，存在该员工盗取其他能够接触到如此大规模源代码的员工账号密码或口令，从而盗取数据的可能。

虽然Yandex极力强调本次被公开的源代码和当前使用的代码版本并不相同，但多位安全业内人士在评判泄漏事件时指出，鉴于被泄露的文件日期展示为2022年2月24日，两个版本代码间的差异不会太大。前Yandex技术专家Grigory Bakunov在接受媒体摘访时表达，二者的相似度“可能高达90%”。

在此背景下，黑客依然能够依据泄露的代码数据觅觅Yandex产品的安全漏洞，进而威逼Yandex及其协作商和用户。

吴建平表达，一方面，对于与Yandex协作的ToB给予商，源代码中的API接口部分可能存在网络密钥，而黑产可以调取这些密钥来对该给予商数据进行横向移动，甚至发起对云存储服务器的脱库进攻；另一方面，对于个人用户，源代码中有关机器学习的核心源代码也可能被用于分析Yandex的用户模型，从而发起对用户的定向投喂和进攻。

他进一步指出，因为调试日志等信息也会包含在源代码中，黑客在对源代码进行脱库时可能率会包含生产环境，进而拿到服务生产环境的最高权限，一旦由此发现服务器后门，也不能清除用户数据或个人信息因此被盗的风险。

展开全文

Bakunov也在回应相关问题时指出，尽管被泄露的文件不涉及敏锐数据，但黑客针对性利用代码中的安全漏洞只是时间问题。

“很多公司在发生泄露事件后为了降低影响面，所以对外表达只是源代码泄露，不涉及个人数据，但用户面临的安全风险并不能因此而清除。”吴建平说。

多重风险

事实上，近年来已有多家公司发生过源代码泄露事件：

2019年，哔哩哔哩的后台源代码被上传至GitHub，其中包含部分用户名及密码信息，随后B站紧急回应称泄露代码系较老历史版本，不会影响网站安全和用户数据安全；2020年，微软、Adobe、联想、华为、小米等多家企业旗下产品源代码被逆向工程师Tillie Kottmann汇总并发布于GitLab，虽然发布者表达其目的是为了引起企业关注降低安全风险，但也有多位业内人士指责其加剧了企业秘密信息被窃取的风险；2022年3月，微软遭黑客进侵，Bing、Cortana等项目源代码被泄露，微软回应称有一个账户被盗用，但安全问题并不严重；10月，丰田汽车公司远程车载信息通心服务使用程序T-Connect源代码被盗取，并因此导致近30万用户信息泄露；今年1月，知名游戏厂商拳头公司旗下产品《英雄联盟》源代码被发布在黑客论坛售卖，拳头方面证实数据遭到窃取，但表达并没有玩家数据或个人信息遭到泄露……

法国安全厂商CybelAngel发布的研究成果展示，由于项目数量的提升和开发人员的短缺，越来越多的软件开发商抉择外包开发项目，2020至2021年间GitHub上创建的新的公共存储库增加了47.3%，但也导致源代码泄露事件增加了66%。

而这些源代码泄露案件，大部分原因都并非黑客外部进侵，而是因为内网安全防护的缺位。源代码一旦遭到泄露，则往往伴随着外部进侵风险加大、竞争对手模拟针对、用户信息泄露、给予商安全风险加大等次生问题，加强内网安全建设已成为亟待行业加强的“安全短板”所在。

吴建平认为，做好内网安全防护需要从人员水平、治理配置两方面进手。

首先，“人才是最弱的安全点”，要做好对员工的安全教诲，妥善强密码，提升反钓鱼意识；其次，当前很多公司虽然配备了防火墙等安全防护手段，但短缺专门的团队或人员进行监控和保护，在安全攻防动态化的大趋势下，无论是硬件还是人员治理都需要更加灵巧，以应对多变的内外部威逼。

更多内容请下载21财经APP