Yandex大规模源代码泄露背后:被盗内容不包含用户数据就能排除个人信息安全风险吗?

南方财经全媒体记者 吴立洋 上海报道

近日,一个声称包含俄罗斯互联网巨头Yandex 44.7GB源代码的磁力链接被发布在海外的黑客论坛上,发布者表示,链接中的代码库包含了Yandex公司除垃圾邮件规则外的全部源代码。

作为一家业务涵盖搜索引擎、电商、电子邮件、地图与打车、在线协同办公等多个领域,用户数位居俄罗斯之首的企业,Yandex是毋庸置疑的互联网巨头,因而源代码链接一经放出就受到社会广泛关注。

Yandex很快对泄露事件进行了回应,其表示,数据被盗的原因并非是遭到网络攻击,而是因为一名前员工泄露了源代码库。此外,Yandex还强调本次泄露不包含任何,因此不构成对用户隐私或安全的直接风险。

但有也业内人士指出,因为调试日志等信息也会包含在源代码中,黑客在脱源代码库时大概率会包含生产环境,进而拿到服务生产环境的最高权限,一旦由此发现服务器后门,也并不能排除用户数据或个人信息因此被盗的风险。

在Yandex发布的声明中,其重点就三方面问题进行了解答,除了前文提到的泄露来源和个人信息问题外,Yandex还表示,泄露的源代码版本与其当前使用的版本并不相同,出自用于处理代码的存储库,不会对用户数据或平台性能造成任何威胁。

“存储库是一个用于存储和处理代码的工具,大部分公司都采用这种方式在内部处理代码。”其补充表示。

梆梆安全服务中心实验室负责人吴建平告诉记者,按照目前公开的信息,本次Yandex源代码泄露是一起典型的内部安全事件,由于当前很多企业的内网安全建设都只针对外来攻击者,缺乏内网管控方面的员工管理措施或安全设备,因此导致Yandex发生泄露的风险因素在其他企业中也大规模存在。

而Yandex提到的前员工泄露源代码数据库,也并不一定是该员工使用本人内部权限完成的,存在该员工盗取其他能够接触到如此大规模源代码的员工账号密码或口令,从而盗取数据的可能。

虽然Yandex极力强调本次被公开的源代码和当前使用的代码版本并不相同,但多位安全业内人士在评价泄漏事件时指出,鉴于被泄露的文件日期显示为2022年2月24日,两个版本代码间的差异不会太大。前Yandex技术专家Grigory Bakunov在接受媒体采访时表示,二者的相似度“可能高达90%”。

在此背景下,黑客依然能够根据泄露的代码数据寻找Yandex产品的安全漏洞,进而威胁Yandex及其合作商和用户。

吴建平表示,一方面,对于与Yandex合作的ToB供应商,源代码中的API接口部分可能存在网络密钥,而黑产可以调取这些密钥来对该供应商数据进行横向移动,甚至发起对云存储服务器的脱库攻击;另一方面,对于个人用户,源代码中有关机器学习的核心源代码也可能被用于分析Yandex的用户模型,从而发起对用户的定向投喂和攻击。

他进一步指出,因为调试日志等信息也会包含在源代码中,黑客在对源代码进行脱库时大概率会包含生产环境,进而拿到服务生产环境的最高权限,一旦由此发现服务器后门,也不能排除用户数据或个人信息因此被盗的风险。

Bakunov也在回应相关问题时指出,尽管被泄露的文件不涉及敏感数据,但黑客针对性利用代码中的安全漏洞只是时间问题。

很多公司在发生泄露事件后为了降低影响面,所以对外表示只是源代码泄露,不涉及个人数据,但用户面临的安全风险并不能因此而排除。”吴建平说。

事实上,近年来已有多家公司发生过源代码泄露事件:

2019年,哔哩哔哩的后台源代码被上传至GitHub,其中包含部分用户名及密码信息,随后B站紧急回应称泄露代码系较老历史版本,不会影响网站安全和用户数据安全;2020年,微软、Adobe、联想、华为、小米等多家企业旗下产品源代码被逆向工程师Tillie Kottmann汇总并发布于GitLab,虽然发布者表示其目的是为了引起企业关注降低安全风险,但也有多位业内人士指责其加剧了企业机密信息被窃取的风险;2022年3月,微软遭黑客入侵,Bing、Cortana等项目源代码被泄露,微软回应称有一个账户被盗用,但安全问题并不严重;10月,丰田汽车公司远程车载信息通信服务应用程序T-Connect源代码被盗取,并因此导致近30万用户信息泄露;今年1月,知名游戏厂商拳头公司旗下产品《英雄联盟》源代码被发布在黑客论坛售卖,拳头方面证实数据遭到窃取,但表示并没有玩家数据或个人信息遭到泄露……

法国安全厂商CybelAngel发布的研究成果显示,由于项目数量的提升和开发人员的短缺,越来越多的软件开发商选择外包开发项目,2020至2021年间GitHub上创建的新的公共存储库增加了47.3%,但也导致源代码泄露事件增加了66%。

而这些源代码泄露案件,大部分原因都并非黑客外部入侵,而是因为内网安全防护的缺位。源代码一旦遭到泄露,则往往伴随着外部入侵风险加大、竞争对手模仿针对、用户信息泄露、供应商安全风险加大等次生问题,加强内网安全建设已成为亟待行业加强的“安全短板”所在。

吴建平认为,做好内网安全防护需要从人员素质、管理配置两方面入手。

首先,“人才是最弱的安全点”,要做好对员工的安全教育,推广强密码,提升反钓鱼意识;其次,当前很多公司虽然配备了防火墙等安全防护手段,但缺乏专门的团队或人员进行监控和维护,在安全攻防动态化的大趋势下,无论是硬件还是人员管理都需要更加灵活,以应对多变的内外部威胁。

更多内容请下载21财经APP

linux ubuntu16.04安装迅雷 让下载成为简单

今天要下载一个比较大的文件发现全都是迅雷链接,无奈自带的BT下载器速度又慢,又满足不了日常的一些文件下载。准备收寻一下载软件,迅雷自然成为目标。ubuntu上安装迅雷大多都是借助wine来实现,老麻烦了。不过在ubuntu中文论坛和github找到一个大神写的一个XwareDesktop,此乃神器也。写了一个ubuntu的外壳内包着迅雷的固件,属于linux上迅雷的开源版

1. 安装编译环境

2.下载源代码,自己找一个目录执行以下指令

git clone git://github.com/Xinkai/XwareDesktop.git

3.此时,看到目录下有一个XwareDesktop文件夹,该文件夹存放的就是源码,使用以下指令查看是否有缺失的依赖

dpkg-checkbuilddeps

如果有,则使用 sudo apt-get install<这里复制显示的缺失依赖>进行安装;如果没有则不需要。

4.制作安装包,执行以下指令

dpkg-buildpackage

此时,和我们源代码同目录下就会有.deb安装包,双击使用软件中心安装即可。

github上作者对项目有进行强调:安装完成后,第一次打开不要进行登录。

先到“菜单栏”—“文件”—“设置”中对以下进行设置:

1.挂载下载目录,在“挂载”中点击“添加”,选择我们的系统上的一个文件夹作为存放下载内容

2.设置启动,在“启动与登录”中看到“xwared托管”,设置其为“由用户态upstart托管”(个人而定),ETM选随xwared启动

然后重启电脑,就可以完美运行迅雷。

[视频下载&播放器专题]视频资源千千万,下载工具哪家强!

随着互联网的日益发展,网上的视频资源越来越多;总会有那么几个视频资源 你很喜欢,想下载保存起来,方便日后再看或者分享给他们。尤其是男同学们,你们都懂的~

好了废话不多说,咱们来看看用户使用比较多的的几款下载工具吧~

1. 快播:(目前已被停止使用!虽然死了,但是在用户心中的地位还是存在滴)是一款国内自主研发的基于准视频点播(QVOD)内核的、多功能、个性化的免费播放器软件。不但支持自主研发的准视频点播技术,还有深受用户欢迎的是他可以直接播放BT种子,用户只需通过1分钟的缓冲即可边接收边观看丰富的 BT 影视节目。曾经是多少宅男的看片神器啊~

2. 迅雷:同时具有下载和播放器工具;目前迅雷下载已经更新到了7.9版本,全新的下载引擎,极速下载体验,让速度直达宽带,比以前更快了~

3. 硕鼠提供土豆、优酷、我乐、酷六、新浪、搜狐、CCTV等90个主流视频网站的解析+下载+合并/转换一条龙服务。支持网站不断更新中硕鼠支持多线程下载,可智能选择地址,自动命名,FLV/MP4自动合并,智能分类保存,特色的“一键”下载整个专辑的功能,无需人工干预,并集成了转换工具可将下载文件批量转换为3gp,AVI,MP4等格式。

4. 维棠最强悍的视频下载功能,200多个网站想下就下;专门针对YouTube、土豆网、56网以及Mofile网等最火热的视频分享站的FLV格式视频的真实地址的分析及下载。贴心的追剧服务,海量视频资源,实时更新。

5. 舒克:是一款用于下载网页视频的软件。界面简洁,使用简单,只需输入视频网址并点击下载按扭就可完成操作;专门下载国内外各大视频网站的高清视频,支持专辑批量下载;功能齐全,搜索、解析、下载、合并、播放一条龙。

6. 快车(FlashGet):是一个快速下载工具。快车受到人们的喜爱,因为它的性能非常的好,功能多,下载速度快。具有全球首创的“插件扫描”功能,在下载过程中自动识别文件中可能含有的间谍程序及捆绑插件,并对用户进行有效提示。

7. 电驴: 是一个完全免费且开放源代码的P2P资源下载和分享软件,用户既可以在这个电驴网络中搜索到海量的优秀资源,又可以从网络中的多点同时下载需要的文件,以达到最佳的下载速度,用户也可使用电驴快速上传分享文件,达到最优的上传速度和资源发布效率。

8. BitComet(比特彗星)不只是一个强大的BT下载软件,独有的长效种子功能,能显著提高下载速度,延长种子寿命;种子市场:用户可以共享任务列表,也可以浏览下载其他人共享的任务。HTTP/FTP下载:应用领先的P2P技术,大大减轻下载服务器负担,显著提高下载速度。 以上这些工具各有各的优点以及使用场景,基本满足了视频下载的所有需求。各位可根据自己的习惯和偏好,请自行选择~ 如果你有更好用的下载工具,欢迎来补充~

人人都是工具咖:专注分享互联网行业中的各类工具及软件, 人人都成为工具大咖!工欲善其事必先利其器,关注工具咖 总有一款工具适合你,提高生活和工作的效率。查看更多工具推荐,请关注微信公众号:tools_ka(人人都是工具咖),个人微信:602589949;或者搜索加QQ群:279667039

本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com

点赞 0
收藏 0

文章为作者独立观点不代本网立场,未经允许不得转载。