Yandex nega invasão e culpa ex-funcionário por vazamento de código-fonte

Um repositório de código-fonte Yandex supostamente roubado por um ex-funcionário da empresa de tecnologia russa vazou como um torrent em um popular fórum de hackers.

Ontem, o vazador postou um link magnético que eles afirmam ser ‘fontes Yandex git’, consistindo em 44,7 GB de arquivos roubados da empresa em julho de 2022. Esses repositórios de código supostamente contêm todo o código-fonte da empresa, além das regras anti-spam.

Repositório Yandex vazou em fóruns de hackers
Repositório Yandex vazou em fóruns de hackers (BleepingComputer)

O engenheiro de software Arseniy Shestakov  analisou o vazamento do repositório Yandex Git  e disse que contém dados técnicos e códigos sobre os seguintes produtos:

  • Mecanismo de busca Yandex e bot de indexação
  • Mapas Yandex
  • Alice (assistente de IA)
  • Táxi Yandex
  • Yandex Direct (serviço de anúncios)
  • Correio Yandex
  • Yandex Disk (serviço de armazenamento em nuvem)
  • Mercado Yandex
  • Yandex Travel (plataforma de reservas de viagens)
  • Yandex360 (serviço de espaços de trabalho)
  • Nuvem Yandex
  • Yandex Pay (serviço de processamento de pagamentos)
  • Yandex Metrika (análise de internet)

Shestakov também compartilhou uma  lista de diretórios dos arquivos vazados  no GitHub para aqueles que desejam ver qual código-fonte foi roubado.

“Existem pelo menos algumas chaves de API, mas elas provavelmente foram usadas apenas para testar a implantação”, disse Shestakov sobre os dados vazados.

Em uma declaração ao BleepingComputer, Yandex disse que seus sistemas não foram hackeados e um ex-funcionário vazou o repositório de código-fonte.

“O Yandex não foi hackeado. Nosso serviço de segurança encontrou fragmentos de código de um repositório interno de domínio público, mas o conteúdo difere da versão atual do repositório usado nos serviços Yandex.

Um repositório é uma ferramenta para armazenar e trabalhar com código. O código é usado dessa forma internamente pela maioria das empresas.

Os repositórios são necessários para trabalhar com código e não se destinam ao armazenamento de dados pessoais do usuário. Estamos conduzindo uma investigação interna sobre os motivos da liberação de fragmentos de código-fonte ao público, mas não vemos nenhuma ameaça aos dados do usuário ou ao desempenho da plataforma.” – Yandex.

Exposição a hackers

A BleepingComputer também discutiu o vazamento com  Grigory Bakunov , ex-administrador sênior de sistemas, vice-chefe de desenvolvimento e diretor de tecnologias de difusão da Yandex. que está muito familiarizado com o código vazado, tendo trabalhado na gigante da tecnologia entre 2002 e 2019.

Bakunov explicou que o motivo do vazamento de dados era político, e o funcionário desonesto da Yandex responsável pelo vazamento de dados não tentou vender o código para concorrentes.

O ex-executivo sênior acrescentou que o vazamento não contém nenhum dado do cliente, portanto não constitui um risco direto à privacidade ou segurança dos usuários do Yandex, nem ameaça diretamente vazar tecnologia proprietária.

Yandex usa uma estrutura monorepo chamada ‘Arcadia’, mas nem todos os serviços da empresa a usam. Além disso, mesmo para construir um serviço, você precisa de muitas ferramentas internas e conhecimento especial, pois os procedimentos de construção padrão não se aplicam.

O repositório vazado contém apenas código; a outra parte importante são os dados. Partes-chave, como pesos de modelo para redes neurais, etc., estão ausentes, por isso é quase inútil.

Ainda assim, há muitos arquivos interessantes com nomes como “blacklist.txt” que podem expor serviços em funcionamento.

No entanto, Bakunov disse ao BleepingComputer que o código vazado cria o potencial para que os hackers identifiquem falhas de segurança e criem explorações direcionadas. Bakunov acredita que isso é apenas uma questão de tempo agora.

O ex-executivo também comentou a resposta da Yandex, dizendo que o código vazado pode não ser idêntico ao código atual usado nos serviços de trabalho da empresa, mas pode ser até 90% semelhante.

Portanto, examinar minuciosamente o código vazado pode gerar possíveis pontos fracos no Yandex para agentes de ameaças.

Fonte: https://www.bleepingcomputer.com/