南方財經(jīng)全媒體記者吳立洋上海報道

近日，一個聲稱包含俄羅斯互聯(lián)網(wǎng)巨頭Yandex 44.7GB源代碼的磁力鏈接被發(fā)布在海外的黑客論壇上，發(fā)布者表示，鏈接中的代碼庫包含了Yandex公司除垃圾郵件規(guī)則外的全部源代碼。

作為一家業(yè)務涵蓋搜索引擎、電商、電子郵件、地圖與打車、在線協(xié)同辦公等多個領(lǐng)域，用戶數(shù)位居俄羅斯之首的企業(yè)，Yandex是毋庸置疑的互聯(lián)網(wǎng)巨頭，因而源代碼鏈接一經(jīng)放出就受到社會廣泛關(guān)注。

Yandex很快對泄露事件進行了回應，其表示，數(shù)據(jù)被盜的原因并非是遭到網(wǎng)絡攻擊，而是因為一名前員工泄露了源代碼庫。此外，Yandex還強調(diào)本次泄露不包含任何客戶數(shù)據(jù)，因此不構(gòu)成對用戶隱私或安全的直接風險。

但有也業(yè)內(nèi)人士指出，因為調(diào)試日志等信息也會包含在源代碼中，黑客在脫源代碼庫時大概率會包含生產(chǎn)環(huán)境，進而拿到服務生產(chǎn)環(huán)境的最高權(quán)限，一旦由此發(fā)現(xiàn)服務器后門，也并不能排除用戶數(shù)據(jù)或個人信息因此被盜的風險。

被忽視的內(nèi)網(wǎng)安全

在Yandex發(fā)布的聲明中，其重點就三方面問題進行了解答，除了前文提到的泄露來源和個人信息問題外，Yandex還表示，泄露的源代碼版本與其當前使用的版本并不相同，出自用于處理代碼的存儲庫，不會對用戶數(shù)據(jù)或平臺性能造成任何威脅。

“存儲庫是一個用于存儲和處理代碼的工具，大部分公司都采用這種方式在內(nèi)部處理代碼?！逼溲a充表示。

梆梆安全服務中心實驗室負責人吳建平告訴記者，按照目前公開的信息，本次Yandex源代碼泄露是一起典型的內(nèi)部安全事件，由于當前很多企業(yè)的內(nèi)網(wǎng)安全建設都只針對外來攻擊者，缺乏內(nèi)網(wǎng)管控方面的員工管理措施或安全設備，因此導致Yandex發(fā)生泄露的風險因素在其他企業(yè)中也大規(guī)模存在。

而Yandex提到的前員工泄露源代碼數(shù)據(jù)庫，也并不一定是該員工使用本人內(nèi)部權(quán)限完成的，存在該員工盜取其他能夠接觸到如此大規(guī)模源代碼的員工賬號密碼或口令，從而盜取數(shù)據(jù)的可能。

雖然Yandex極力強調(diào)本次被公開的源代碼和當前使用的代碼版本并不相同，但多位安全業(yè)內(nèi)人士在評價泄漏事件時指出，鑒于被泄露的文件日期顯示為2022年2月24日，兩個版本代碼間的差異不會太大。前Yandex技術(shù)專家Grigory Bakunov在接受媒體采訪時表示，二者的相似度“可能高達90%”。

在此背景下，黑客依然能夠根據(jù)泄露的代碼數(shù)據(jù)尋找Yandex產(chǎn)品的安全漏洞，進而威脅Yandex及其合作商和用戶。

吳建平表示，一方面，對于與Yandex合作的ToB供應商，源代碼中的API接口部分可能存在網(wǎng)絡密鑰，而黑產(chǎn)可以調(diào)取這些密鑰來對該供應商數(shù)據(jù)進行橫向移動，甚至發(fā)起對云存儲服務器的脫庫攻擊；另一方面，對于個人用戶，源代碼中有關(guān)機器學習的核心源代碼也可能被用于分析Yandex的用戶模型，從而發(fā)起對用戶的定向投喂和攻擊。

他進一步指出，因為調(diào)試日志等信息也會包含在源代碼中，黑客在對源代碼進行脫庫時大概率會包含生產(chǎn)環(huán)境，進而拿到服務生產(chǎn)環(huán)境的最高權(quán)限，一旦由此發(fā)現(xiàn)服務器后門，也不能排除用戶數(shù)據(jù)或個人信息因此被盜的風險。

Bakunov也在回應相關(guān)問題時指出，盡管被泄露的文件不涉及敏感數(shù)據(jù)，但黑客針對性利用代碼中的安全漏洞只是時間問題。

“很多公司在發(fā)生泄露事件后為了降低影響面，所以對外表示只是源代碼泄露，不涉及個人數(shù)據(jù)，但用戶面臨的安全風險并不能因此而排除?！?/strong>吳建平說。

多重風險

事實上，近年來已有多家公司發(fā)生過源代碼泄露事件：

2019年，嗶哩嗶哩的后臺源代碼被上傳至GitHub，其中包含部分用戶名及密碼信息，隨后B站緊急回應稱泄露代碼系較老歷史版本，不會影響網(wǎng)站安全和用戶數(shù)據(jù)安全；2020年，微軟、Adobe、聯(lián)想、華為、小米等多家企業(yè)旗下產(chǎn)品源代碼被逆向工程師Tillie Kottmann匯總并發(fā)布于GitLab，雖然發(fā)布者表示其目的是為了引起企業(yè)關(guān)注降低安全風險，但也有多位業(yè)內(nèi)人士指責其加劇了企業(yè)機密信息被竊取的風險；2022年3月，微軟遭黑客入侵，Bing、Cortana等項目源代碼被泄露，微軟回應稱有一個賬戶被盜用，但安全問題并不嚴重；10月，豐田汽車公司遠程車載信息通信服務應用程序T-Connect源代碼被盜取，并因此導致近30萬用戶信息泄露；今年1月，知名游戲廠商拳頭公司旗下產(chǎn)品《英雄聯(lián)盟》源代碼被發(fā)布在黑客論壇售賣，拳頭方面證實數(shù)據(jù)遭到竊取，但表示并沒有玩家數(shù)據(jù)或個人信息遭到泄露……

法國安全廠商CybelAngel發(fā)布的研究成果顯示，由于項目數(shù)量的提升和開發(fā)人員的短缺，越來越多的軟件開發(fā)商選擇外包開發(fā)項目，2020至2021年間GitHub上創(chuàng)建的新的公共存儲庫增加了47.3%，但也導致源代碼泄露事件增加了66%。

而這些源代碼泄露案件，大部分原因都并非黑客外部入侵，而是因為內(nèi)網(wǎng)安全防護的缺位。源代碼一旦遭到泄露，則往往伴隨著外部入侵風險加大、競爭對手模仿針對、用戶信息泄露、供應商安全風險加大等次生問題，加強內(nèi)網(wǎng)安全建設已成為亟待行業(yè)加強的“安全短板”所在。

吳建平認為，做好內(nèi)網(wǎng)安全防護需要從人員素質(zhì)、管理配置兩方面入手。

首先，“人才是最弱的安全點”，要做好對員工的安全教育，推廣強密碼，提升反釣魚意識；其次，當前很多公司雖然配備了防火墻等安全防護手段，但缺乏專門的團隊或人員進行監(jiān)控和維護，在安全攻防動態(tài)化的大趨勢下，無論是硬件還是人員管理都需要更加靈活，以應對多變的內(nèi)外部威脅。