1. <track id="sbaeb"><ruby id="sbaeb"></ruby></track>

  2. <acronym id="sbaeb"><label id="sbaeb"></label></acronym>
    1. A股行情
      • 上證指數---
      • 深證成指---
      • 創業板指---
      • 滬深300---
      • 中證500---
      • 科創50---
      首頁 > 科技 > 正文

      Yandex大規模源代碼泄露背后:被盜內容不包含用戶數據就能排除個人信息安全風險嗎?

      2023-02-02 18:21:36 21世紀經濟報道 21財經APP 吳立洋

      南方財經全媒體記者吳立洋上海報道

      近日,一個聲稱包含俄羅斯互聯網巨頭Yandex 44.7GB源代碼的磁力鏈接被發布在海外的黑客論壇上,發布者表示,鏈接中的代碼庫包含了Yandex公司除垃圾郵件規則外的全部源代碼。

      作為一家業務涵蓋搜索引擎、電商、電子郵件、地圖與打車、在線協同辦公等多個領域,用戶數位居俄羅斯之首的企業,Yandex是毋庸置疑的互聯網巨頭,因而源代碼鏈接一經放出就受到社會廣泛關注。

      Yandex很快對泄露事件進行了回應,其表示,數據被盜的原因并非是遭到網絡攻擊,而是因為一名前員工泄露了源代碼庫。此外,Yandex還強調本次泄露不包含任何客戶數據,因此不構成對用戶隱私或安全的直接風險。

      但有也業內人士指出,因為調試日志等信息也會包含在源代碼中,黑客在脫源代碼庫時大概率會包含生產環境,進而拿到服務生產環境的最高權限,一旦由此發現服務器后門,也并不能排除用戶數據或個人信息因此被盜的風險。

      被忽視的內網安全

      在Yandex發布的聲明中,其重點就三方面問題進行了解答,除了前文提到的泄露來源和個人信息問題外,Yandex還表示,泄露的源代碼版本與其當前使用的版本并不相同,出自用于處理代碼的存儲庫,不會對用戶數據或平臺性能造成任何威脅。

      “存儲庫是一個用于存儲和處理代碼的工具,大部分公司都采用這種方式在內部處理代碼?!逼溲a充表示。

      梆梆安全服務中心實驗室負責人吳建平告訴記者,按照目前公開的信息,本次Yandex源代碼泄露是一起典型的內部安全事件,由于當前很多企業的內網安全建設都只針對外來攻擊者,缺乏內網管控方面的員工管理措施或安全設備,因此導致Yandex發生泄露的風險因素在其他企業中也大規模存在。

      而Yandex提到的前員工泄露源代碼數據庫,也并不一定是該員工使用本人內部權限完成的,存在該員工盜取其他能夠接觸到如此大規模源代碼的員工賬號密碼或口令,從而盜取數據的可能。

      雖然Yandex極力強調本次被公開的源代碼和當前使用的代碼版本并不相同,但多位安全業內人士在評價泄漏事件時指出,鑒于被泄露的文件日期顯示為2022年2月24日,兩個版本代碼間的差異不會太大。前Yandex技術專家Grigory Bakunov在接受媒體采訪時表示,二者的相似度“可能高達90%”。

      在此背景下,黑客依然能夠根據泄露的代碼數據尋找Yandex產品的安全漏洞,進而威脅Yandex及其合作商和用戶。

      吳建平表示,一方面,對于與Yandex合作的ToB供應商,源代碼中的API接口部分可能存在網絡密鑰,而黑產可以調取這些密鑰來對該供應商數據進行橫向移動,甚至發起對云存儲服務器的脫庫攻擊;另一方面,對于個人用戶,源代碼中有關機器學習的核心源代碼也可能被用于分析Yandex的用戶模型,從而發起對用戶的定向投喂和攻擊。

      他進一步指出,因為調試日志等信息也會包含在源代碼中,黑客在對源代碼進行脫庫時大概率會包含生產環境,進而拿到服務生產環境的最高權限,一旦由此發現服務器后門,也不能排除用戶數據或個人信息因此被盜的風險。

      Bakunov也在回應相關問題時指出,盡管被泄露的文件不涉及敏感數據,但黑客針對性利用代碼中的安全漏洞只是時間問題。

      很多公司在發生泄露事件后為了降低影響面,所以對外表示只是源代碼泄露,不涉及個人數據,但用戶面臨的安全風險并不能因此而排除?!?/strong>吳建平說。

      多重風險

      事實上,近年來已有多家公司發生過源代碼泄露事件:

      2019年,嗶哩嗶哩的后臺源代碼被上傳至GitHub,其中包含部分用戶名及密碼信息,隨后B站緊急回應稱泄露代碼系較老歷史版本,不會影響網站安全和用戶數據安全;2020年,微軟、Adobe、聯想、華為、小米等多家企業旗下產品源代碼被逆向工程師Tillie Kottmann匯總并發布于GitLab,雖然發布者表示其目的是為了引起企業關注降低安全風險,但也有多位業內人士指責其加劇了企業機密信息被竊取的風險;2022年3月,微軟遭黑客入侵,Bing、Cortana等項目源代碼被泄露,微軟回應稱有一個賬戶被盜用,但安全問題并不嚴重;10月,豐田汽車公司遠程車載信息通信服務應用程序T-Connect源代碼被盜取,并因此導致近30萬用戶信息泄露;今年1月,知名游戲廠商拳頭公司旗下產品《英雄聯盟》源代碼被發布在黑客論壇售賣,拳頭方面證實數據遭到竊取,但表示并沒有玩家數據或個人信息遭到泄露……

      法國安全廠商CybelAngel發布的研究成果顯示,由于項目數量的提升和開發人員的短缺,越來越多的軟件開發商選擇外包開發項目,2020至2021年間GitHub上創建的新的公共存儲庫增加了47.3%,但也導致源代碼泄露事件增加了66%。

      而這些源代碼泄露案件,大部分原因都并非黑客外部入侵,而是因為內網安全防護的缺位。源代碼一旦遭到泄露,則往往伴隨著外部入侵風險加大、競爭對手模仿針對、用戶信息泄露、供應商安全風險加大等次生問題,加強內網安全建設已成為亟待行業加強的“安全短板”所在。

      吳建平認為,做好內網安全防護需要從人員素質、管理配置兩方面入手。

      首先,“人才是最弱的安全點”,要做好對員工的安全教育,推廣強密碼,提升反釣魚意識;其次,當前很多公司雖然配備了防火墻等安全防護手段,但缺乏專門的團隊或人員進行監控和維護,在安全攻防動態化的大趨勢下,無論是硬件還是人員管理都需要更加靈活,以應對多變的內外部威脅。

      国产爽爽爽视屏,欧美Gay办公室激情视频,日韩女同精品视频在线播放,无吗高清一级黄色大片