An unfaithful employee leaked Yandex source code repositories
2023/01/26 SecurityAffairs — 不正な Yandex git ソースへのマグネット・リンクが含まれたアナウンスメントが、BreachForums に公開された。この投稿の背後にいる脅威アクターは、2022年7月に 44.7GB のファイルを入手したと主張しており、すべてのファイルの日付は 2022年2月24日 (ロシアのウクライナ侵攻の日) にまでさかのぼる。脅威アクターの主張は、このソースコード・リポジトリには、アンチ・スパム・ルールを除くソースコードが含まれているというものだ。
研究者である Arseniy Shestakov は、流出したリポジトリの詳細な分析を発表しており、以下の Yandex の主要サービスを構成している、すべてのソースコードが含まれていると見られる。
- Search Engine と Indexing Bot
- Maps – Google マップやストリートビューのようなサービス
- Alice – Siri/Alexa などのような AI アシスタント
- Taxi – Uber のようなタクシーサービス
- Direct – Google Ads/Adwordsのような広告サービス
- Mail – GMail のようなメール・サービス
- Disk – Google drive のようなファイル保存サービス
- Market – Amazon のようなマーケット・プレイス
- Travel – Booking.com のような、航空券/電車/バスのチケットサービス
- Yandex360 – Google Workspaces のような、独自ドメインでのサービス
- Cloud – おそらく、全てのインフラ・コードが流出したわけではない。
- Pay – Stripe のような決済処理システム (機能は限定的)
- Metrika – Google Analytics のようなサービス
Shestakov は、「流出したのは Git リポジトリの内容のみであり、個人情報は含まれていない。少なくとも、いくつかの API キーは含まれているが、おそらくテスト・デプロイメントで使用されたものだけと推測される」と述べている。
ロシア企業である Yandex に Bleeping Computer が連絡したところ、同社のシステムは侵害されておらず、リポジトリは元従業員により漏えいされたものだと、同社は回答していた。
Yandex は、データ流出について調査中であるとしているが、ユーザーのデータは漏洩しておらず、プラットフォームの性能にも影響はないと述べている。ただし、公開された Git のソースコードを解析する脅威アクターたちは、Yandex のサービスに対する攻撃に悪用可能な、脆弱性を探し出すことが可能となる。
この記事を読む限り、リポジトリを公開した脅威アクターに経済的な動機はなく、ハクティビストとしての行動なのかと思えてきます。文中にも、「すべてのファイルの日付は 2022年2月24日 (ロシアのウクライナ侵攻の日) にまでさかのぼる」と記されているので、それで間違いないでしょう。どこかで、Yandex の資本構成に関する報道があったと思い、調べてみたら 2022年11月24日の Reuters 「ロシアのヤンデックス、事業再編でプーチン氏に承認求める」でした。ロシアの IT 産業は、大きく様変わりしているようです。
IoT OT Security News 
You must be logged in to post a comment.