Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #yandex #nega #invasão #e #culpa #exfuncionário #por #vazamento #de #códigofonte
Um repositório de código-fonte Yandex supostamente roubado por um ex-funcionário da empresa de tecnologia russa vazou como um torrent em um popular fórum de hackers.
Ontem, o vazador postou um link magnético que eles afirmam ser 'fontes Yandex git', consistindo em 44,7 GB de arquivos roubados da empresa em julho de 2022. Esses repositórios de código supostamente contêm todo o código-fonte da empresa, além das regras anti-spam.
Repositório Yandex vazou em fóruns de hackers (BleepingComputer)
O engenheiro de software Arseniy Shestakov analisou o repositório Yandex Git vazado e disse que ele contém dados técnicos e códigos sobre os seguintes produtos:
Mecanismo de busca Yandex e bot de indexação
Mapas Yandex
Alice (assistente de IA)
Táxi Yandex
Yandex Direct (serviço de anúncios)
Correio Yandex
Yandex Disk (serviço de armazenamento em nuvem)
Mercado Yandex
Yandex Travel (plataforma de reservas de viagens)
Yandex360 (serviço de espaços de trabalho)
Nuvem Yandex
Yandex Pay (serviço de processamento de pagamentos)
Yandex Metrika (análise de internet)
Shestakov também compartilhou uma lista de diretórios dos arquivos vazados no GitHub para quem quiser ver qual código-fonte foi roubado.
“Existem pelo menos algumas chaves de API, mas elas provavelmente foram usadas apenas para testar a implantação”, disse Shestakov sobre os dados vazados.
Em uma declaração ao BleepingComputer, Yandex disse que seus sistemas não foram hackeados e um ex-funcionário vazou o repositório de código-fonte.
"O Yandex não foi hackeado. Nosso serviço de segurança encontrou fragmentos de código de um repositório interno de domínio público, mas o conteúdo difere da versão atual do repositório usado nos serviços Yandex.
Um repositório é uma ferramenta para armazenar e trabalhar com código. O código é usado dessa forma internamente pela maioria das empresas.
Os repositórios são necessários para trabalhar com código e não se destinam ao armazenamento de dados pessoais do usuário. Estamos conduzindo uma investigação interna sobre os motivos da liberação de fragmentos de código-fonte ao público, mas não vemos nenhuma ameaça aos dados do usuário ou ao desempenho da plataforma." - Yandex.
Exposição a hackers
A BleepingComputer também discutiu o vazamento com Grigory Bakunov, ex-administrador de sistemas sênior, vice-chefe de desenvolvimento e diretor de tecnologias de difusão da Yandex. que está muito familiarizado com o código vazado, tendo trabalhado na gigante da tecnologia entre 2002 e 2019.
Bakunov explicou que o motivo do vazamento de dados era político, e o funcionário desonesto da Yandex responsável pelo vazamento de dados não tentou vender o código aos concorrentes.
O ex-executivo sênior acrescentou que o vazamento não contém nenhum dado do cliente, portanto não constitui um risco direto à privacidade ou segurança dos usuários do Yandex, nem ameaça diretamente vazar tecnologia proprietária.
Yandex usa uma estrutura monorepo chamada 'Arcadia', mas nem todos os serviços da empresa a usam. Além disso, mesmo para construir um serviço, você precisa de muitas ferramentas internas e conhecimento especial, pois os procedimentos de construção padrão não se aplicam.
O repositório vazado contém apenas código; a outra parte importante são os dados. Partes-chave, como pesos de modelo para redes neurais, etc., estão ausentes, por isso é quase inútil.
Ainda assim, há muitos arquivos interessantes com nomes como "blacklist.txt" que podem expor serviços em funcionamento.
No entanto, Bakunov disse ao BleepingComputer que o código vazado cria o potencial para que os hackers identifiquem falhas de segurança e criem explorações direcionadas. Bakunov acredita que isso é apenas uma questão de tempo agora.
O ex-executivo também comentou a resposta da Yandex, dizendo que o código vazado pode não ser idêntico ao código atual usado nos serviços de trabalho da empresa, mas pode ser até 90% semelhante.
Portanto, examinar minuciosamente o código vazado pode gerar possíveis pontos fracos no Yandex para agentes de ameaças.
Postar um comentário