就在几个小时前,我在蓝鸟上发现有人提到俄罗斯巨头 Yandex 的专有源代码被泄露到名为BreachForums的在线社区。在这篇文章中,我将分享我的朋友挖掘上述档案的结果。
关于种子的重要细节:
- 它只是存储库的内容,没有任何其他内容。
- 所有文件的日期都可以追溯到2022 年 2 月 24 日。
- 它不包含 git 历史,大部分只是代码
- 大多数软件都没有预构建的二进制文件,只有少数例外
- 除了一些例外,没有预训练的 ML 模型
为什么这么大?
Yandex 是俄罗斯最大的 IT 公司之一。在国内,它提供比谷歌更广泛的服务。想象一下有一家公司可以取代谷歌、优步、亚马逊、Netflix 和 Spotify。
这次泄漏是真的吗?
我个人从未在 Yandex 工作过,但我知道有几个人曾在不同时间在那里工作或仍在工作。我证实至少有一些档案肯定包含公司服务的现代源代码以及指向真实内网 URL 的文档。
里面有什么
看起来至少 Yandex 所有主要服务的源代码都被泄露了:
- 搜索引擎和索引机器人
- 地图 – 类似于谷歌地图和街景
- Alice – 类似 Siri / Alexa 的 AI 助手
- 出租车 – 类似优步的出租车服务
- Direct – 广告服务,例如 Google Ads / Adwords
- 邮件 – 类似 GMail 的邮件服务
- 磁盘 – 类似 Google Drive 的文件存储服务
- 市场 – 像亚马逊这样的市场
- 旅行 – 像 Booking.com 一样加上飞机、火车和公共汽车票
- Yandex360 – 像 Google Workspaces 一样在您自己的域上提供服务
- 云 – 可能并非所有基础设施代码都被泄露。
- Pay – 类似 Stripe 的支付处理,但功能有限
- Metrika – 像谷歌分析
至少大部分其他公司服务的后端部分都在那里。称为“前端”的最大档案尚待探索。
文件的完整文件列表
如果您不想下载 torrent,但对里面的内容感到好奇,您可以从以下要点中获取文件列表:
github你也可以像普通的 git 仓库一样克隆它:
git clone https://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989
可以使用以下命令获取所有文件的列表。
完整文件列表
aapi.tar.bz2 client_method.tar.bz2 gencfg.tar.bz2 mobile-WARNING-notfull.tar.bz2.part skynet.tar.bz2
admins.tar.bz2 cloud.tar.bz2.part groups.tar.bz2 nginx.tar.bz2 smart_devices.tar.bz2.part
ads.tar.bz2 commerce.tar.bz2.part helpdesk.tar.bz2 noc.tar.bz2.part smarttv.tar.bz2
alice.tar.bz2.part config.tar.bz2 infra.tar.bz2 partner.tar.bz2 solomon.tar.bz2.part
analytics.tar.bz2.part connect.tar.bz2.part intranet.tar.bz2 passport.tar.bz2.part stocks.tar.bz2
antiadblock.tar.bz2 crm.tar.bz2.part investors.tar.bz2 pay.tar.bz2 switch.tar.bz2
antirobot.tar.bz2 crypta.tar.bz2 it-office.tar.bz2 payplatform.tar.bz2.part tasklet.tar.bz2
autocheck.tar.bz2 customer_service.tar.bz2 jupytercloud.tar.bz2 paysys.tar.bz2 taxi.tar.bz2.part
balancer.tar.bz2 datacloud.tar.bz2 kernel.tar.bz2.part portal.tar.bz2.part tools.tar.bz2
billing.tar.bz2 delivery.tar.bz2.part library.tar.bz2.part privacy_office.tar.bz2 travel.tar.bz2.part
bindings.tar.bz2 direct.tar.bz2.part load.tar.bz2.part products.tar.bz2 wmconsole.tar.bz2
captcha.tar.bz2 disk.tar.bz2 mail.tar.bz2.part robot.tar.bz2 yandex360.tar.bz2.part
cdn.tar.bz2 docs.tar.bz2 maps.tar.bz2.part rt-research.tar.bz2 yandex_io.tar.bz2.part
certs.tar.bz2 drive.tar.bz2.part maps_2.tar.bz2.part saas.tar.bz2 yaphone.tar.bz2
ci.tar.bz2.part extsearch.tar.bz2.part maps_adv.tar.bz2 sandbox.tar.bz2 yawe.tar.bz2
classifieds.tar.bz2.part frontend.tar.bz2.part market.tar.bz2.part search.tar.bz2
client_analytics.tar.bz2.part fuzzing.tar.bz2 metrika.tar.bz2.part security.tar.bz2
安全隐患
由于这是泄漏仅包含 git 存储库的内容,因此没有个人数据。至少有一些 API 密钥,但它们可能仅用于测试部署。
📮评论