Před pár dny vyšla informace o úniku téměř 45 GB ze souborů zdrojového kódu ruského technologického giganta "Yandex", údajně odcizené bývalým zaměstnancem a které odhalily základy mnoha aplikací a služeb vyhledávače, které jsou jen zřídka zveřejněny.
„gitové zdroje Yandexu“ byly vydány jako torrentový soubor 25. ledna a zobrazují soubory zjevně pořízené v červenci 2022 a pocházející z února 2022. Softwarový inženýr Arsenij Shestakov říká, že si u současných zaměstnanců Yandexu ověřil, že některé soubory „určitě obsahují kód z služby společnosti."
Ruská technologická společnost Yandex se omluvil poté, co byly v tomto kódu nalezeny rasové nadávky zdroj unikl s tím, že k žádnému úniku dat nedošlo. Minulý týden bylo ve zdrojovém kódu společnosti nalezeno několik odkazů na rasové urážky, včetně „N-slova“.
Softwarový inženýr Arsenij Shestakov analyzoval uniklé úložiště Yandex Git a uvedl, že obsahuje technická data a kód pro následující produkty:
- Vyhledávač Yandex a indexovací bot
- Mapy Yandex
- Alice (asistent AI)
- Taxi Yandex
- Yandex Direct (reklamní služba)
- pošta Yandex
- Yandex Disk (služba cloudového úložiště)
- trh Yandex
- Yandex Travel (platforma pro rezervaci cestování)
- Yandex360 (služba pracovního prostoru)
- Yandex-cloud
- Yandex Pay (služba zpracování plateb)
- Yandex Metrika (webová analytika).
Shestakov také sdílel seznam adresářů uniklých souborů na GitHubu pro ty, kteří chtějí vidět, jaký zdrojový kód byl ukraden.
"Existuje alespoň pár klíčů API, ale pravděpodobně se používají pouze k testování implementace," řekl Shestakov k uniklým datům.
Je to prohlášeníYandex uvedl, že jeho systémy nebyly hacknuty a že úložiště uniklo bývalému zaměstnanci ze zdrojového kódu:
Yandex nebyl hacknut. Naše bezpečnostní služba našla úryvky kódu z interního úložiště ve veřejné doméně, ale obsah se liší od aktuální verze úložiště používaného ve službách Yandex.
Úložiště je nástroj pro ukládání kódu a práci s ním. Tento kód používá interně většina společností.
Úložiště jsou nezbytná pro práci s kódem a nejsou určena k ukládání osobních uživatelských dat. Provádíme interní vyšetřování důvodů zveřejnění úryvků zdrojového kódu, ale nevidíme žádné ohrožení uživatelských dat nebo výkonu platformy.
Záznamy pocházejí zejména z února 2022, kdy Rusko zahájilo rozsáhlou invazi na Ukrajinu. Bývalý výkonný ředitel Yandexu označil únik za „politický“ a poznamenal, že bývalý zaměstnanec se nepokusil prodat kód konkurentům Yandexu. Antispamový kód také nebyl zveřejněn.
Si bien není jasné, zda má zveřejnění zdrojového kódu Yandex strukturální nebo bezpečnostní důsledky, Únik 1.922 XNUMX hodnotících faktorů ve vyhledávacím algoritmu Yandex jistě vyvolává senzaci.
Ruská technologická společnost Yandex se omluvila poté, co byly v uniklém zdrojovém kódu nalezeny rasové nadávky. Ve zdrojovém kódu společnosti bylo nalezeno několik odkazů na rasové urážky. Výzkumník poprvé odhalil použití urážlivé terminologie v sérii příspěvků na Twitteru 26. ledna, což vyvolalo silnou kritiku.
Yandex ve svém prohlášení uvedl, že počáteční vyšetřování ukázalo, že uniklý kód „se zdá být odlišnými starými úryvky od aktuální verze v úložišti společnosti“. Společnost dodala, že uniklý kód by „nikdy neovlivnil žádnou ze služeb společnosti“.
"Hluboce litujeme, že se tato slova objevila v našich interních kódech," řekl Yandex. "To je nepřijatelné a zjevné porušení naší podnikové etiky." "V současné době provádíme interní kontrolu, abychom lépe porozuměli tomu, jak se to stalo, a podnikneme příslušná opatření, včetně toho, abychom zajistili, že se to nebude opakovat."
Na uniklý Yandex byly nastříkány rasové nadávky. Byly použity v názvech funkcí a proměnných, tištěných zprávách a dalších místech v konfiguračních souborech.
Vývojáři často používají specifické termíny nebo názvy, aby pomohli ostatním vývojářům pochopit, jakou funkci nebo akci vykonává určitý řádek kódu.
Za zmínku stojí toto není první problém, kterému Yandex čelí, protože v roce 2015 viděl zmizet svůj kód vyhledávače, když se jej bývalý zaměstnanec pokusil prodat na černém trhu za 28.000 XNUMX dolarů, aby mohl financovat svůj vlastní startup. Překvapivě nízký počet hlavního kódu hlavního produktu Yandex naznačoval, že si nebyl vědom jeho skutečné hodnoty. Tento zaměstnanec dostal dvouletý podmíněný trest a kód nebyl nikdy veřejně viděn.
Konečně Máte-li zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.