Um ex-funcionário da empresa russa Yandex supostamente roubou um repositório de código da empresa e vazou-o como torrent em um fórum popular de hackers.
O vazamento consiste em 44,7 GB de arquivos, incluindo todo o código-fonte da Yandex e suas regras anti-spam, e foi postado como um link magnético na data de ontem.
O engenheiro de software Arseniy Shestakov analisou o vazamento do repositório Yandex Git e afirmou que ele inclui dados técnicos e códigos sobre os seguintes produtos da Yandex:
- Mecanismo de busca
- Mapas
- Alice (assistente AI)
- Táxi Yandex
- Yandex Direct (serviço de anúncios)
- Correio Yandex
- Yandex Disk (armazenamento na nuvem)
- Mercado Yandex
- Yandex Travel (reservas de viagens)
- Yandex360 (espaços de trabalho)
- Nuvem Yandex
- Yandex Pay (pagamentos)
- Yandex Metrika (análise da internet)
Shestakov também compartilhou uma lista de diretórios de arquivos vazados no GitHub para visualização. Ele comentou que existem pelo menos algumas chaves de API, mas que provavelmente foram usadas apenas para fins de teste.
Yandex nega tentativa de invasão
O Yandex confirmou o vazamento de fragmentos de seu código-fonte e está investigando como isso aconteceu.
A empresa afirmou que seus sistemas não foram hackeados e que um ex-funcionário pode ter sido o responsável.
O arquivo vazado inclui fragmentos de código de um repositório interno, que são diferentes da versão atual usada nos serviços Yandex. No entanto, vazamentos de código-fonte representam ameaças à segurança das empresas, pois podem permitir a criação de exploits direcionados por invasores.
Embora o vazamento não inclua dados pessoais, o incidente é considerado importante devido ao papel fundamental de Yandex na infraestrutura de TI da Rússia.
Alguns especulam que o ataque pode ter sido motivado por motivos políticos relacionados à invasão da Ucrânia, mas ainda não há provas concretas.
