Yandex大規(guī)模源代碼泄露背后:被盜內(nèi)容不包含用戶數(shù)據(jù)就能排除個人信息安全風險嗎?
南方財經(jīng)全媒體記者吳立洋上海報道
近日,一個聲稱包含俄羅斯互聯(lián)網(wǎng)巨頭Yandex 44.7GB源代碼的磁力鏈接被發(fā)布在海外的黑客論壇上,發(fā)布者表示,鏈接中的代碼庫包含了Yandex公司除垃圾郵件規(guī)則外的全部源代碼。
作為一家業(yè)務涵蓋搜索引擎、電商、電子郵件、地圖與打車、在線協(xié)同辦公等多個領域,用戶數(shù)位居俄羅斯之首的企業(yè),Yandex是毋庸置疑的互聯(lián)網(wǎng)巨頭,因而源代碼鏈接一經(jīng)放出就受到社會廣泛關注。
Yandex很快對泄露事件進行了回應,其表示,數(shù)據(jù)被盜的原因并非是遭到網(wǎng)絡攻擊,而是因為一名前員工泄露了源代碼庫。此外,Yandex還強調本次泄露不包含任何客戶數(shù)據(jù),因此不構成對用戶隱私或安全的直接風險。
但有也業(yè)內(nèi)人士指出,因為調試日志等信息也會包含在源代碼中,黑客在脫源代碼庫時大概率會包含生產(chǎn)環(huán)境,進而拿到服務生產(chǎn)環(huán)境的最高權限,一旦由此發(fā)現(xiàn)服務器后門,也并不能排除用戶數(shù)據(jù)或個人信息因此被盜的風險。
被忽視的內(nèi)網(wǎng)安全
在Yandex發(fā)布的聲明中,其重點就三方面問題進行了解答,除了前文提到的泄露來源和個人信息問題外,Yandex還表示,泄露的源代碼版本與其當前使用的版本并不相同,出自用于處理代碼的存儲庫,不會對用戶數(shù)據(jù)或平臺性能造成任何威脅。
“存儲庫是一個用于存儲和處理代碼的工具,大部分公司都采用這種方式在內(nèi)部處理代碼。”其補充表示。
梆梆安全服務中心實驗室負責人吳建平告訴記者,按照目前公開的信息,本次Yandex源代碼泄露是一起典型的內(nèi)部安全事件,由于當前很多企業(yè)的內(nèi)網(wǎng)安全建設都只針對外來攻擊者,缺乏內(nèi)網(wǎng)管控方面的員工管理措施或安全設備,因此導致Yandex發(fā)生泄露的風險因素在其他企業(yè)中也大規(guī)模存在。
而Yandex提到的前員工泄露源代碼數(shù)據(jù)庫,也并不一定是該員工使用本人內(nèi)部權限完成的,存在該員工盜取其他能夠接觸到如此大規(guī)模源代碼的員工賬號密碼或口令,從而盜取數(shù)據(jù)的可能。
雖然Yandex極力強調本次被公開的源代碼和當前使用的代碼版本并不相同,但多位安全業(yè)內(nèi)人士在評價泄漏事件時指出,鑒于被泄露的文件日期顯示為2022年2月24日,兩個版本代碼間的差異不會太大。前Yandex技術專家Grigory Bakunov在接受媒體采訪時表示,二者的相似度“可能高達90%”。
在此背景下,黑客依然能夠根據(jù)泄露的代碼數(shù)據(jù)尋找Yandex產(chǎn)品的安全漏洞,進而威脅Yandex及其合作商和用戶。
吳建平表示,一方面,對于與Yandex合作的ToB供應商,源代碼中的API接口部分可能存在網(wǎng)絡密鑰,而黑產(chǎn)可以調取這些密鑰來對該供應商數(shù)據(jù)進行橫向移動,甚至發(fā)起對云存儲服務器的脫庫攻擊;另一方面,對于個人用戶,源代碼中有關機器學習的核心源代碼也可能被用于分析Yandex的用戶模型,從而發(fā)起對用戶的定向投喂和攻擊。
他進一步指出,因為調試日志等信息也會包含在源代碼中,黑客在對源代碼進行脫庫時大概率會包含生產(chǎn)環(huán)境,進而拿到服務生產(chǎn)環(huán)境的最高權限,一旦由此發(fā)現(xiàn)服務器后門,也不能排除用戶數(shù)據(jù)或個人信息因此被盜的風險。
Bakunov也在回應相關問題時指出,盡管被泄露的文件不涉及敏感數(shù)據(jù),但黑客針對性利用代碼中的安全漏洞只是時間問題。
“很多公司在發(fā)生泄露事件后為了降低影響面,所以對外表示只是源代碼泄露,不涉及個人數(shù)據(jù),但用戶面臨的安全風險并不能因此而排除。”吳建平說。
多重風險
事實上,近年來已有多家公司發(fā)生過源代碼泄露事件:
2019年,嗶哩嗶哩的后臺源代碼被上傳至GitHub,其中包含部分用戶名及密碼信息,隨后B站緊急回應稱泄露代碼系較老歷史版本,不會影響網(wǎng)站安全和用戶數(shù)據(jù)安全;2020年,微軟、Adobe、聯(lián)想、華為、小米等多家企業(yè)旗下產(chǎn)品源代碼被逆向工程師Tillie Kottmann匯總并發(fā)布于GitLab,雖然發(fā)布者表示其目的是為了引起企業(yè)關注降低安全風險,但也有多位業(yè)內(nèi)人士指責其加劇了企業(yè)機密信息被竊取的風險;2022年3月,微軟遭黑客入侵,Bing、Cortana等項目源代碼被泄露,微軟回應稱有一個賬戶被盜用,但安全問題并不嚴重;10月,豐田汽車公司遠程車載信息通信服務應用程序T-Connect源代碼被盜取,并因此導致近30萬用戶信息泄露;今年1月,知名游戲廠商拳頭公司旗下產(chǎn)品《英雄聯(lián)盟》源代碼被發(fā)布在黑客論壇售賣,拳頭方面證實數(shù)據(jù)遭到竊取,但表示并沒有玩家數(shù)據(jù)或個人信息遭到泄露……
法國安全廠商CybelAngel發(fā)布的研究成果顯示,由于項目數(shù)量的提升和開發(fā)人員的短缺,越來越多的軟件開發(fā)商選擇外包開發(fā)項目,2020至2021年間GitHub上創(chuàng)建的新的公共存儲庫增加了47.3%,但也導致源代碼泄露事件增加了66%。
而這些源代碼泄露案件,大部分原因都并非黑客外部入侵,而是因為內(nèi)網(wǎng)安全防護的缺位。源代碼一旦遭到泄露,則往往伴隨著外部入侵風險加大、競爭對手模仿針對、用戶信息泄露、供應商安全風險加大等次生問題,加強內(nèi)網(wǎng)安全建設已成為亟待行業(yè)加強的“安全短板”所在。
吳建平認為,做好內(nèi)網(wǎng)安全防護需要從人員素質、管理配置兩方面入手。
首先,“人才是最弱的安全點”,要做好對員工的安全教育,推廣強密碼,提升反釣魚意識;其次,當前很多公司雖然配備了防火墻等安全防護手段,但缺乏專門的團隊或人員進行監(jiān)控和維護,在安全攻防動態(tài)化的大趨勢下,無論是硬件還是人員管理都需要更加靈活,以應對多變的內(nèi)外部威脅。