俄羅斯科技巨頭Yandex前員工泄露44.7GB源碼 涉及搜索地圖等主要服務

俄羅斯第一大科技巨頭，這回遇上大麻煩：44.7GB源代碼，全被泄露到網上。什麼概念？就是這傢名為Yandex的公司，幾乎所有主要服務的源代碼都被挖個底掉……要知道，在俄羅斯，Yandex不僅幹著搜索引擎的活兒，還把俄國老百姓購物、打車、訂外賣、租車這一連串生活服務都給包圓。簡單來說，約等於俄版百度+淘寶+美團+滴滴。

這麼大個事兒，自然引起全世界網友的圍觀。

但就在眾人紛紛猜測這又是哪傢黑客手筆之際，Yandex的聲明卻有些令人大跌眼鏡：

我們沒有被黑，就是被前員工給賣……

44.7GB源代碼遭泄露，代碼被扒個底朝天

具體來說，泄密鏈接最早出現在一個黑客論壇上。

泄密者稱，這份44.7GB的Yandex代碼庫，包含該公司2022年7月以前，除反垃圾郵件規則之外的所有源代碼。

這些被泄露出來的代碼信息量到底有多大？

看看網友們熱火朝天扒出來的細節就知道……

Yandex不是以搜索引擎起傢，常被稱作“俄版百度”/“俄版Google”嘛，那就先以搜索引擎部分的代碼為例。

一位名叫Alex Buraks的老哥就深扒下Yandex搜索引擎的排名規則，還戲稱這對理解GoogleSEO（搜索引擎優化）有很多有用的信息。

畢竟Yandex和Google的搜索結果有70%的匹配度，不少人認為其搜索技術用的就是Google同款：如PageRank、BERT等。

（掌握Yandex的規則不就相當於透Google排名算法的傢底，手動狗頭）

目前已經有大批吃瓜群眾來圍觀，甚至Alex Buraks的這條線程曾在Google搜索“yandex”中排名第8。

有趣的是，在Yandex的排名因素中，排在第一個的就是PageRank。

Buraks還直接列出Yandex的10個排名因素：

（1）鏈接的創建時間；（2）流量和有機流量的百分比；（3）URL中的數字不利於排名；（4）URL中的斜杠不利於排名；（5）負面情緒過重的PageRank=0；（6）主機可靠性；（7）“維基百科”還單獨列一個因素

；（8）用戶行為：點擊率，跳出率等；（9）文件年齡與上次更新日期；（10）所有查詢域名的平均位置……

當然這還隻是其中的一部分，Buraks表示後續還會繼續分析。

除Alex Buraks，也有不少營銷大師深扒Yandex的排名因素，甚至有人都詳細整理出完整的1900+個排名因素。

值得一提的是，在各路大神扒代碼的過程中，Yandex搜索引擎的一些“潛規則”也被擺上臺面。

就比如說加拿大黑客Aubrey Cottle就在代碼中發現Yandex是容忍種族歧視的。

還有網友在代碼中發現，Yandex的廣告投放中，普通廣告和色情廣告是分開計算的。

官方聲明：沒有被黑，是前員工泄密

這事兒一出，很快還有一份詳細的泄密文件目錄被整理出來放在GitHub上。

作者是一位名叫Arseniy Shestakov的軟件工程師。據他評估，這些源代碼確實涉及Yandex的所有主要服務。

包括：

• 搜索引擎和索引機器人

• 地圖服務

• AI語音助手

• 打車服務

• 廣告服務

• 郵件服務

• 存儲服務（類似百度網盤）

• 電商服務（類似淘寶）

• 旅遊服務

• 雲服務

還包括在線協同辦公、支付、數據分析等等業務。

不過，泄露內容並不包括用戶數據等敏感信息。

Arseniy Shestakov總結幾個關鍵細節：

• 泄露出來的主要是git存儲庫裡的源代碼，不包含git歷史記錄

• 所有文件日期均可追溯至2022年2月24日

• 大部分軟件都沒有預先編譯好，隻有少數例外

• 除一些例外，沒有預先訓練好的機器學習模型

△Yandex辦公樓

事情鬧得這麼大，Yandex官方也坐不住，很快發表聲明表示：其實我們並沒有被黑，是前員工出賣我們！

Yandex沒有被黑。我們在公共領域發現泄露自內部存儲庫的代碼片段，但其內容與Yandex當前使用的代碼版本並不相同。

存儲庫是用來存儲和處理代碼的工具。大多數公司都采用這種方式來使用代碼。

代碼庫並未存儲個人用戶數據。

我們正在進行內部調查，但並沒有發現該事件給用戶數據和平臺性能帶來任何威脅。

Yandex倒是信誓旦旦，但外部的專業人士卻有不同看法。

據bleepingcomputer消息，前Yandex技術專傢Grigory Bakunov對此事做出回應。

他認為，這次代碼泄露確實不會對用戶的隱私或安全構成直接風險，也不會直接威脅到Yandex的專有技術。

不過一些文件仍可能會暴露正在運行的服務，比如說“blacklist.txt”，Bakunov還稱：

盡管泄密的部分不涉及敏感數據，但黑客針對性利用代碼中的安全漏洞，隻是時間問題；

（BTW）雖然Yandex官方回應泄露的代碼與公司工作服務中使用的當前代碼不同，但相似度可能高達90%。

泄露代碼目錄：

https://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989

參考鏈接：

[1]https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/

[2]https://arseniyshestakov.com/2023/01/26/yandex-services-source-code-leak/

[3]https://twitter.com/Kirtaner/status/1619007274202329091

[4]https://twitter.com/dom_woodman/status/1619028740201398274

[5]https://twitter.com/alex_buraks/status/1618988134850785280