Yandex大規(guī)模源代碼泄露背后:被盜內(nèi)容不包含用戶(hù)數(shù)據(jù)就能排除個(gè)人信息安全風(fēng)險(xiǎn)嗎?
南方財(cái)經(jīng)全媒體記者吳立洋上海報(bào)道
近日,一個(gè)聲稱(chēng)包含俄羅斯互聯(lián)網(wǎng)巨頭Yandex 44.7GB源代碼的磁力鏈接被發(fā)布在海外的黑客論壇上,發(fā)布者表示,鏈接中的代碼庫(kù)包含了Yandex公司除垃圾郵件規(guī)則外的全部源代碼。
作為一家業(yè)務(wù)涵蓋搜索引擎、電商、電子郵件、地圖與打車(chē)、在線協(xié)同辦公等多個(gè)領(lǐng)域,用戶(hù)數(shù)位居俄羅斯之首的企業(yè),Yandex是毋庸置疑的互聯(lián)網(wǎng)巨頭,因而源代碼鏈接一經(jīng)放出就受到社會(huì)廣泛關(guān)注。
Yandex很快對(duì)泄露事件進(jìn)行了回應(yīng),其表示,數(shù)據(jù)被盜的原因并非是遭到網(wǎng)絡(luò)攻擊,而是因?yàn)橐幻皢T工泄露了源代碼庫(kù)。此外,Yandex還強(qiáng)調(diào)本次泄露不包含任何客戶(hù)數(shù)據(jù),因此不構(gòu)成對(duì)用戶(hù)隱私或安全的直接風(fēng)險(xiǎn)。
但有也業(yè)內(nèi)人士指出,因?yàn)檎{(diào)試日志等信息也會(huì)包含在源代碼中,黑客在脫源代碼庫(kù)時(shí)大概率會(huì)包含生產(chǎn)環(huán)境,進(jìn)而拿到服務(wù)生產(chǎn)環(huán)境的最高權(quán)限,一旦由此發(fā)現(xiàn)服務(wù)器后門(mén),也并不能排除用戶(hù)數(shù)據(jù)或個(gè)人信息因此被盜的風(fēng)險(xiǎn)。
被忽視的內(nèi)網(wǎng)安全
在Yandex發(fā)布的聲明中,其重點(diǎn)就三方面問(wèn)題進(jìn)行了解答,除了前文提到的泄露來(lái)源和個(gè)人信息問(wèn)題外,Yandex還表示,泄露的源代碼版本與其當(dāng)前使用的版本并不相同,出自用于處理代碼的存儲(chǔ)庫(kù),不會(huì)對(duì)用戶(hù)數(shù)據(jù)或平臺(tái)性能造成任何威脅。
“存儲(chǔ)庫(kù)是一個(gè)用于存儲(chǔ)和處理代碼的工具,大部分公司都采用這種方式在內(nèi)部處理代碼?!逼溲a(bǔ)充表示。
梆梆安全服務(wù)中心實(shí)驗(yàn)室負(fù)責(zé)人吳建平告訴記者,按照目前公開(kāi)的信息,本次Yandex源代碼泄露是一起典型的內(nèi)部安全事件,由于當(dāng)前很多企業(yè)的內(nèi)網(wǎng)安全建設(shè)都只針對(duì)外來(lái)攻擊者,缺乏內(nèi)網(wǎng)管控方面的員工管理措施或安全設(shè)備,因此導(dǎo)致Yandex發(fā)生泄露的風(fēng)險(xiǎn)因素在其他企業(yè)中也大規(guī)模存在。
而Yandex提到的前員工泄露源代碼數(shù)據(jù)庫(kù),也并不一定是該員工使用本人內(nèi)部權(quán)限完成的,存在該員工盜取其他能夠接觸到如此大規(guī)模源代碼的員工賬號(hào)密碼或口令,從而盜取數(shù)據(jù)的可能。
雖然Yandex極力強(qiáng)調(diào)本次被公開(kāi)的源代碼和當(dāng)前使用的代碼版本并不相同,但多位安全業(yè)內(nèi)人士在評(píng)價(jià)泄漏事件時(shí)指出,鑒于被泄露的文件日期顯示為2022年2月24日,兩個(gè)版本代碼間的差異不會(huì)太大。前Yandex技術(shù)專(zhuān)家Grigory Bakunov在接受媒體采訪時(shí)表示,二者的相似度“可能高達(dá)90%”。
在此背景下,黑客依然能夠根據(jù)泄露的代碼數(shù)據(jù)尋找Yandex產(chǎn)品的安全漏洞,進(jìn)而威脅Yandex及其合作商和用戶(hù)。
吳建平表示,一方面,對(duì)于與Yandex合作的ToB供應(yīng)商,源代碼中的API接口部分可能存在網(wǎng)絡(luò)密鑰,而黑產(chǎn)可以調(diào)取這些密鑰來(lái)對(duì)該供應(yīng)商數(shù)據(jù)進(jìn)行橫向移動(dòng),甚至發(fā)起對(duì)云存儲(chǔ)服務(wù)器的脫庫(kù)攻擊;另一方面,對(duì)于個(gè)人用戶(hù),源代碼中有關(guān)機(jī)器學(xué)習(xí)的核心源代碼也可能被用于分析Yandex的用戶(hù)模型,從而發(fā)起對(duì)用戶(hù)的定向投喂和攻擊。
他進(jìn)一步指出,因?yàn)檎{(diào)試日志等信息也會(huì)包含在源代碼中,黑客在對(duì)源代碼進(jìn)行脫庫(kù)時(shí)大概率會(huì)包含生產(chǎn)環(huán)境,進(jìn)而拿到服務(wù)生產(chǎn)環(huán)境的最高權(quán)限,一旦由此發(fā)現(xiàn)服務(wù)器后門(mén),也不能排除用戶(hù)數(shù)據(jù)或個(gè)人信息因此被盜的風(fēng)險(xiǎn)。
Bakunov也在回應(yīng)相關(guān)問(wèn)題時(shí)指出,盡管被泄露的文件不涉及敏感數(shù)據(jù),但黑客針對(duì)性利用代碼中的安全漏洞只是時(shí)間問(wèn)題。
“很多公司在發(fā)生泄露事件后為了降低影響面,所以對(duì)外表示只是源代碼泄露,不涉及個(gè)人數(shù)據(jù),但用戶(hù)面臨的安全風(fēng)險(xiǎn)并不能因此而排除?!?/strong>吳建平說(shuō)。
多重風(fēng)險(xiǎn)
事實(shí)上,近年來(lái)已有多家公司發(fā)生過(guò)源代碼泄露事件:
2019年,嗶哩嗶哩的后臺(tái)源代碼被上傳至GitHub,其中包含部分用戶(hù)名及密碼信息,隨后B站緊急回應(yīng)稱(chēng)泄露代碼系較老歷史版本,不會(huì)影響網(wǎng)站安全和用戶(hù)數(shù)據(jù)安全;2020年,微軟、Adobe、聯(lián)想、華為、小米等多家企業(yè)旗下產(chǎn)品源代碼被逆向工程師Tillie Kottmann匯總并發(fā)布于GitLab,雖然發(fā)布者表示其目的是為了引起企業(yè)關(guān)注降低安全風(fēng)險(xiǎn),但也有多位業(yè)內(nèi)人士指責(zé)其加劇了企業(yè)機(jī)密信息被竊取的風(fēng)險(xiǎn);2022年3月,微軟遭黑客入侵,Bing、Cortana等項(xiàng)目源代碼被泄露,微軟回應(yīng)稱(chēng)有一個(gè)賬戶(hù)被盜用,但安全問(wèn)題并不嚴(yán)重;10月,豐田汽車(chē)公司遠(yuǎn)程車(chē)載信息通信服務(wù)應(yīng)用程序T-Connect源代碼被盜取,并因此導(dǎo)致近30萬(wàn)用戶(hù)信息泄露;今年1月,知名游戲廠商拳頭公司旗下產(chǎn)品《英雄聯(lián)盟》源代碼被發(fā)布在黑客論壇售賣(mài),拳頭方面證實(shí)數(shù)據(jù)遭到竊取,但表示并沒(méi)有玩家數(shù)據(jù)或個(gè)人信息遭到泄露……
法國(guó)安全廠商CybelAngel發(fā)布的研究成果顯示,由于項(xiàng)目數(shù)量的提升和開(kāi)發(fā)人員的短缺,越來(lái)越多的軟件開(kāi)發(fā)商選擇外包開(kāi)發(fā)項(xiàng)目,2020至2021年間GitHub上創(chuàng)建的新的公共存儲(chǔ)庫(kù)增加了47.3%,但也導(dǎo)致源代碼泄露事件增加了66%。
而這些源代碼泄露案件,大部分原因都并非黑客外部入侵,而是因?yàn)閮?nèi)網(wǎng)安全防護(hù)的缺位。源代碼一旦遭到泄露,則往往伴隨著外部入侵風(fēng)險(xiǎn)加大、競(jìng)爭(zhēng)對(duì)手模仿針對(duì)、用戶(hù)信息泄露、供應(yīng)商安全風(fēng)險(xiǎn)加大等次生問(wèn)題,加強(qiáng)內(nèi)網(wǎng)安全建設(shè)已成為亟待行業(yè)加強(qiáng)的“安全短板”所在。
吳建平認(rèn)為,做好內(nèi)網(wǎng)安全防護(hù)需要從人員素質(zhì)、管理配置兩方面入手。
首先,“人才是最弱的安全點(diǎn)”,要做好對(duì)員工的安全教育,推廣強(qiáng)密碼,提升反釣魚(yú)意識(shí);其次,當(dāng)前很多公司雖然配備了防火墻等安全防護(hù)手段,但缺乏專(zhuān)門(mén)的團(tuán)隊(duì)或人員進(jìn)行監(jiān)控和維護(hù),在安全攻防動(dòng)態(tài)化的大趨勢(shì)下,無(wú)論是硬件還是人員管理都需要更加靈活,以應(yīng)對(duì)多變的內(nèi)外部威脅。