俄罗斯科技巨头Yandex前员工泄露44.7GB源码涉及搜索地图等主要服务-品论天涯网

俄罗斯第一大科技巨头，这回遇上了大麻烦：44.7GB源代码，全被泄露到了网上。什么概念？就是这家名为Yandex的公司，几乎所有主要服务的源代码都被挖了个底掉……要知道，在俄罗斯，Yandex不仅干着搜索引擎的活儿，还把俄国老百姓购物、打车、订外卖、租车这一连串生活服务都给包圆了。简单来说，约等于俄版百度+淘宝+美团+滴滴。PHf品论天涯网

PHf品论天涯网

这么大个事儿，自然引起了全世界网友的围观。PHf品论天涯网

但就在众人纷纷猜测这又是哪家黑客手笔之际，Yandex的声明却有些令人大跌眼镜：PHf品论天涯网

我们没有被黑，就是被前员工给卖了……

44.7GB源代码遭泄露，代码被扒了个底朝天PHf品论天涯网

具体来说，泄密链接最早出现在了一个黑客论坛上。PHf品论天涯网

泄密者称，这份44.7GB的Yandex代码库，包含该公司2022年7月以前，除反垃圾邮件规则之外的所有源代码。PHf品论天涯网

PHf品论天涯网

这些被泄露出来的代码信息量到底有多大？PHf品论天涯网

看看网友们热火朝天扒出来的细节就知道了……PHf品论天涯网

PHf品论天涯网

Yandex不是以搜索引擎起家，常被称作“俄版百度”/“俄版Google”嘛，那就先以搜索引擎部分的代码为例。PHf品论天涯网

一位名叫AlexBuraks的老哥就深扒了下Yandex搜索引擎的排名规则，还戏称这对理解GoogleSEO（搜索引擎优化）有很多有用的信息。PHf品论天涯网

毕竟Yandex和Google的搜索结果有70%的匹配度，不少人认为其搜索技术用的就是Google同款：如PageRank、BERT等。PHf品论天涯网

（掌握了Yandex的规则不就相当于透了Google排名算法的家底，手动狗头）PHf品论天涯网

PHf品论天涯网

目前已经有大批吃瓜群众来围观，甚至AlexBuraks的这条线程曾在Google搜索“yandex”中排名第8。PHf品论天涯网

PHf品论天涯网

有趣的是，在Yandex的排名因素中，排在第一个的就是PageRank。PHf品论天涯网

PHf品论天涯网

Buraks还直接列出了Yandex的10个排名因素：PHf品论天涯网

（1）链接的创建时间；（2）流量和有机流量的百分比；（3）URL中的数字不利于排名；（4）URL中的斜杠不利于排名；（5）负面情绪过重的PageRank=0；（6）主机可靠性；（7）“维基百科”还单独列了一个因素

；（8）用户行为：点击率，跳出率等；（9）文件年龄与上次更新日期；（10）所有查询域名的平均位置……PHf品论天涯网

PHf品论天涯网

当然这还只是其中的一部分，Buraks表示后续还会继续分析。PHf品论天涯网

除了AlexBuraks，也有不少营销大师深扒了Yandex的排名因素，甚至有人都详细整理出了完整的1900+个排名因素。PHf品论天涯网

PHf品论天涯网

值得一提的是，在各路大神扒代码的过程中，Yandex搜索引擎的一些“潜规则”也被摆上了台面。PHf品论天涯网

就比如说加拿大黑客AubreyCottle就在代码中发现了Yandex是容忍种族歧视的。PHf品论天涯网

PHf品论天涯网

还有网友在代码中发现，Yandex的广告投放中，普通广告和色情广告是分开计算的。PHf品论天涯网

PHf品论天涯网

官方声明：没有被黑，是前员工泄密PHf品论天涯网

这事儿一出，很快还有一份详细的泄密文件目录被整理出来放在了GitHub上。PHf品论天涯网

作者是一位名叫ArseniyShestakov的软件工程师。据他评估，这些源代码确实涉及了Yandex的所有主要服务。PHf品论天涯网

包括：PHf品论天涯网

搜索引擎和索引机器人PHf品论天涯网

地图服务PHf品论天涯网

AI语音助手PHf品论天涯网

打车服务PHf品论天涯网

广告服务PHf品论天涯网

邮件服务PHf品论天涯网

存储服务（类似百度网盘）PHf品论天涯网

电商服务（类似淘宝）PHf品论天涯网

旅游服务PHf品论天涯网

云服务PHf品论天涯网

还包括在线协同办公、支付、数据分析等等业务。PHf品论天涯网

不过，泄露内容并不包括用户数据等敏感信息。PHf品论天涯网

ArseniyShestakov总结了几个关键细节：PHf品论天涯网

泄露出来的主要是git存储库里的源代码，不包含git历史记录PHf品论天涯网

所有文件日期均可追溯至2022年2月24日PHf品论天涯网

大部分软件都没有预先编译好，只有少数例外PHf品论天涯网

除了一些例外，没有预先训练好的机器学习模型PHf品论天涯网

PHf品论天涯网

△Yandex办公楼PHf品论天涯网

事情闹得这么大，Yandex官方也坐不住了，很快发表声明表示：其实我们并没有被黑，是前员工出卖了我们！PHf品论天涯网

Yandex没有被黑。我们在公共领域发现了泄露自内部存储库的代码片段，但其内容与Yandex当前使用的代码版本并不相同。

存储库是用来存储和处理代码的工具。大多数公司都采用这种方式来使用代码。PHf品论天涯网

代码库并未存储个人用户数据。PHf品论天涯网

我们正在进行内部调查，但并没有发现该事件给用户数据和平台性能带来了任何威胁。PHf品论天涯网

Yandex倒是信誓旦旦，但外部的专业人士却有不同看法。PHf品论天涯网

据bleepingcomputer消息，前Yandex技术专家GrigoryBakunov对此事做出了回应。PHf品论天涯网

他认为，这次代码泄露确实不会对用户的隐私或安全构成直接风险，也不会直接威胁到Yandex的专有技术。PHf品论天涯网

不过一些文件仍可能会暴露正在运行的服务，比如说“blacklist.txt”，Bakunov还称：PHf品论天涯网

尽管泄密的部分不涉及敏感数据，但黑客针对性利用代码中的安全漏洞，只是时间问题；

（BTW）虽然Yandex官方回应泄露的代码与公司工作服务中使用的当前代码不同，但相似度可能高达90%。PHf品论天涯网

泄露代码目录：PHf品论天涯网

https://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989PHf品论天涯网

参考链接：PHf品论天涯网

[1]https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/PHf品论天涯网

[2]https://arseniyshestakov.com/2023/01/26/yandex-services-source-code-leak/PHf品论天涯网

[3]https://twitter.com/Kirtaner/status/1619007274202329091PHf品论天涯网

[4]https://twitter.com/dom_woodman/status/1619028740201398274PHf品论天涯网

[5]https://twitter.com/alex_buraks/status/1618988134850785280PHf品论天涯网

俄罗斯科技巨头Yandex前员工泄露44.7GB源码 涉及搜索地图等主要服务

俄罗斯科技巨头Yandex前员工泄露44.7GB源码涉及搜索地图等主要服务