Rus teknoloji şirketinin eski bir çalışanı tarafından çalındığı iddia edilen bir Yandex kaynak kodu deposu, popüler bir bilgisayar korsanlığı forumunda Torrent olarak sızdırıldı.
Dün, sızıntı yapan kişi, Temmuz 2022’de şirketten çalınan 44,7 GB dosyadan oluşan ‘Yandex git kaynakları’ olduğunu iddia ettikleri bir mıknatıs bağlantısı yayınladı. Bu kod havuzlarının, anti-spam kurallarının yanı sıra şirketin tüm kaynak kodunu içerdiği iddia ediliyor.
Yazılım mühendisi Arseniy Shestakov, sızdırılan Yandex Git deposunu analiz etti ve aşağıdaki ürünler hakkında teknik veriler ve kodlar içerdiğini söyledi:
- Yandex arama motoru ve indeksleme botu
- Yandex Haritaları
- Alice (AI asistanı)
- Yandex Taksi
- Yandex Direct (reklam hizmeti)
- Yandex Posta
- Yandex Disk (bulut depolama hizmeti)
- Yandex Market
- Yandex Travel (seyahat rezervasyon platformu)
- Yandex360 (çalışma alanları hizmeti)
- Yandex Bulut
- Yandex Pay (ödeme işleme hizmeti)
- Yandex Metrika (internet analitiği)
Shestakov ayrıca hangi kaynak kodunun çalındığını görmek isteyenler için GitHub’da sızdırılan dosyaların bir dizin listesini paylaştı.
Shestakov, sızdırılan verilerle ilgili olarak “En azından bazı API anahtarları var, ancak bunlar muhtemelen yalnızca dağıtım testi için kullanılıyor” dedi.
BleepingComputer’a yaptığı açıklamada Yandex, sistemlerinin saldırıya uğramadığını ve eski bir çalışanın kaynak kodu deposunu sızdırdığını söyledi.
“Yandex saldırıya uğramadı. Güvenlik hizmetimiz, kamuya açık bir dahili depodan kod parçaları buldu, ancak içerik, Yandex hizmetlerinde kullanılan deponun mevcut sürümünden farklı.
Depo, kodu depolamak ve kodla çalışmak için bir araçtır. Kod, çoğu şirket tarafından dahili olarak bu şekilde kullanılır.
Depolar, kodla çalışmak için gereklidir ve kişisel kullanıcı verilerinin depolanması için tasarlanmamıştır. Kaynak kod parçalarının halka açıklanmasının nedenlerine yönelik bir iç soruşturma yürütüyoruz, ancak kullanıcı verilerine veya platform performansına yönelik herhangi bir tehdit görmüyoruz.” – Yandex.
Bilgisayar korsanlarına maruz kalma
BleepingComputer ayrıca eski bir üst düzey sistem yöneticisi, geliştirmeden sorumlu başkan yardımcısı ve Yandex’de teknoloji yayma direktörü olan Grigory Bakunov ile sızıntıyı tartıştı. 2002 ile 2019 yılları arasında teknoloji devinde çalışan ve sızan koda çok aşina olan Dr.
Bakunov, veri sızıntısının nedeninin siyasi olduğunu ve veri sızıntısından sorumlu olan haydut Yandex çalışanının kodu rakiplere satmaya çalışmadığını açıkladı.
Eski üst düzey yönetici, sızıntının herhangi bir müşteri verisi içermediğini, bu nedenle Yandex kullanıcılarının mahremiyeti veya güvenliği için doğrudan bir risk oluşturmadığını ve doğrudan özel teknoloji sızıntısı tehdidi oluşturmadığını da sözlerine ekledi.
Yandex, ‘Arcadia’ adlı bir monorepo yapısı kullanır, ancak şirketin tüm hizmetleri bunu kullanmaz. Ayrıca, standart oluşturma prosedürleri geçerli olmadığından yalnızca bir hizmet oluşturmak için bile çok sayıda dahili araca ve özel bilgiye ihtiyacınız vardır.
Sızan depo yalnızca kod içerir; diğer önemli kısım ise verilerdir. Sinir ağları için model ağırlıkları vb. gibi önemli parçalar yoktur, bu nedenle neredeyse işe yaramaz.
Yine de, “kara liste.txt” gibi isimlere sahip olan ve potansiyel olarak çalışan hizmetleri ifşa edebilecek pek çok ilginç dosya vardır.
Ancak Bakunov, BleepingComputer’a sızan kodun bilgisayar korsanlarının güvenlik açıklarını belirleme ve hedefli istismarlar oluşturma potansiyeli yarattığını söyledi. Bakunov bunun artık an meselesi olduğuna inanıyor.
Eski yönetici, Yandex’in yanıtına da yorum yaparak, sızan kodun firmanın çalışan hizmetlerinde kullanılan mevcut kodla aynı olmayabileceğini, ancak %90’a varan oranda benzer olabileceğini söyledi.
Bu nedenle, sızdırılan kodun kapsamlı bir şekilde incelenmesi, tehdit aktörleri için Yandex’de olası zayıf noktaları ortaya çıkarabilir.