「热议话题」YANDEX 服务源代码泄漏插图

就在几个小时前,我在蓝鸟上发现有人提到俄罗斯巨头 Yandex 的专有源代码被泄露到名为BreachForums的在线社区。在这篇文章中,我将分享我的朋友挖掘上述档案的结果。

关于种子的重要细节:

  • 它只是存储库的内容,没有任何其他内容。
  • 所有文件的日期都可以追溯到2022 年 2 月 24 日。
  • 它不包含 git 历史,大部分只是代码
  • 大多数软件都没有预构建的二进制文件,只有少数例外
  • 除了一些例外,没有预训练的 ML 模型

为什么这么大?

Yandex 是俄罗斯最大的 IT 公司之一。在国内,它提供比谷歌更广泛的服务。想象一下有一家公司可以取代谷歌、优步、亚马逊、Netflix 和 Spotify。

这次泄漏是真的吗?

我个人从未在 Yandex 工作过,但我知道有几个人曾在不同时间在那里工作或仍在工作。我证实至少有一些档案肯定包含公司服务的现代源代码以及指向真实内网 URL 的文档。

里面有什么

看起来至少 Yandex 所有主要服务的源代码都被泄露了:

  • 搜索引擎和索引机器人
  • 地图 – 类似于谷歌地图和街景
  • Alice – 类似 Siri / Alexa 的 AI 助手
  • 出租车 – 类似优步的出租车服务
  • Direct – 广告服务,例如 Google Ads / Adwords
  • 邮件 – 类似 GMail 的邮件服务
  • 磁盘 – 类似 Google Drive 的文件存储服务
  • 市场 – 像亚马逊这样的市场
  • 旅行 – 像 Booking.com 一样加上飞机、火车和公共汽车票
  • Yandex360 – 像 Google Workspaces 一样在您自己的域上提供服务
  • 云 – 可能并非所有基础设施代码都被泄露。
  • Pay – 类似 Stripe 的支付处理,但功能有限
  • Metrika – 像谷歌分析

至少大部分其他公司服务的后端部分都在那里。称为“前端”的最大档案尚待探索。

文件的完整文件列表

如果您不想下载 torrent,但对里面的内容感到好奇,您可以从以下要点中获取文件列表:

github

你也可以像普通的 git 仓库一样克隆它:

git clone https://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989

可以使用以下命令获取所有文件的列表。

完整文件列表

aapi.tar.bz2                        client_method.tar.bz2               gencfg.tar.bz2                      mobile-WARNING-notfull.tar.bz2.part skynet.tar.bz2
admins.tar.bz2                      cloud.tar.bz2.part                  groups.tar.bz2                      nginx.tar.bz2                       smart_devices.tar.bz2.part
ads.tar.bz2                         commerce.tar.bz2.part               helpdesk.tar.bz2                    noc.tar.bz2.part                    smarttv.tar.bz2
alice.tar.bz2.part                  config.tar.bz2                      infra.tar.bz2                       partner.tar.bz2                     solomon.tar.bz2.part
analytics.tar.bz2.part              connect.tar.bz2.part                intranet.tar.bz2                    passport.tar.bz2.part               stocks.tar.bz2
antiadblock.tar.bz2                 crm.tar.bz2.part                    investors.tar.bz2                   pay.tar.bz2                         switch.tar.bz2
antirobot.tar.bz2                   crypta.tar.bz2                      it-office.tar.bz2                   payplatform.tar.bz2.part            tasklet.tar.bz2
autocheck.tar.bz2                   customer_service.tar.bz2            jupytercloud.tar.bz2                paysys.tar.bz2                      taxi.tar.bz2.part
balancer.tar.bz2                    datacloud.tar.bz2                   kernel.tar.bz2.part                 portal.tar.bz2.part                 tools.tar.bz2
billing.tar.bz2                     delivery.tar.bz2.part               library.tar.bz2.part                privacy_office.tar.bz2              travel.tar.bz2.part
bindings.tar.bz2                    direct.tar.bz2.part                 load.tar.bz2.part                   products.tar.bz2                    wmconsole.tar.bz2
captcha.tar.bz2                     disk.tar.bz2                        mail.tar.bz2.part                   robot.tar.bz2                       yandex360.tar.bz2.part
cdn.tar.bz2                         docs.tar.bz2                        maps.tar.bz2.part                   rt-research.tar.bz2                 yandex_io.tar.bz2.part
certs.tar.bz2                       drive.tar.bz2.part                  maps_2.tar.bz2.part                 saas.tar.bz2                        yaphone.tar.bz2
ci.tar.bz2.part                     extsearch.tar.bz2.part              maps_adv.tar.bz2                    sandbox.tar.bz2                     yawe.tar.bz2
classifieds.tar.bz2.part            frontend.tar.bz2.part               market.tar.bz2.part                 search.tar.bz2
client_analytics.tar.bz2.part       fuzzing.tar.bz2                     metrika.tar.bz2.part                security.tar.bz2

安全隐患

由于这是泄漏仅包含 git 存储库的内容,因此没有个人数据。至少有一些 API 密钥,但它们可能仅用于测试部署。