俄搜索引擎Yandex被前员工泄露44.7GB源代码 代码含种族歧视性用语
俄罗斯本土搜索引擎开发商和互联网公司 Yandex 日前承认源代码被泄露,但该公司称并没有遭到黑客攻击。
本次泄露的产品源代码数据包含 44.7 GB,涉及搜索引擎和爬虫、邮件、地图、支付、广告、网盘等源代码。
为什么要强调不是黑客攻击呢?因为泄露这份源代码的人,是 Yandex 前员工利用职务之便打包下载的数据。
有网友检查代码还发现 Yandex 在日常开发中使用种族歧视性词语,例如用语描述黑人的歧视性词语N*gger
按照 Yandex 说明这份数据下载日期是2022年7月,实际上就是前员工直接将 Yandex Git 源打包下载转存。
这份数据不包含反垃圾邮件规则的源代码,但除了反垃圾邮件规则的源代码外,公司其他产品数据都被泄露。
具体来说包括:搜索引擎和爬虫、地图、人工智能助手、打车服务、广告服务、邮件、网盘、支付、旅游等。
这些数据里还包含部分API密钥,这部分密钥可能是用于测试目的的,但Yandex当前已经重置所有关键密钥。
至于泄露目的暂时没人知道,因为这名前员工并不是向其竞争对手出售,而是直接公开在互联网上提供下载。
潜在危害是接下来 Yandex 可能会遭到大量攻击,因为分析这些源代码可以找出某些安全漏洞用来渗透入侵。
员工能够直接拷贝整个公司的产品源代码显然存在管理问题,正常情况下每个部门只能负责自己的产品代码。
从这起事件中也可以看出来 Yandex 内部管理混乱,有人批量下载所有产品源代码竟然都没有触发内部告警。
尤其是直到这名员工主动站出来公布数据才引起公司排查,如果数据被卖到黑市估计 Yandex 现在还不知道。
目前 Yandex 估计还在一头雾水中,在公告中该公司称此次泄露的数据不影响消费者,不含消费者敏感资料。
同时公司正在竭力进行内部调查评估潜在的影响,另外 Yandex 还就代码里使用种族歧视语言发布简短回应。
有开发者下载源代码并在检查源代码时发现 Yandex 的开发团队在日常编写代码时使用某些种族歧视性词语。
这些词语并非孤立出现而是多次出现,而且还可能是故意这么命名的,有些歧视性词语还被用于变量名称中。
例如有段代码是用来终止Unix中已经完成执行但仍存在进程列表中的子进程(即僵尸进程)就使用这个词命名。
Yandex的开发者添加的注释是 kill n*gger,当执行时这个函数会在屏幕上显示 请稍后我正在杀死n*gger。
Yandex称使用这些词语不影响公司的服务(???)且仅在内部使用,Yandex对违反公司政策使用这类词语致歉。