“DeepSeek припустилася великого витоку даних”, – пишуть дослідники безпеки з Wiz Research, які виявили загальнодоступну базу даних ClickHouse. Вона належить DeepSeek.
“Компанія Wiz Research виявила “DeepLeak” – загальнодоступну базу даних ClickHouse, що належить DeepSeek, яка розкриває конфіденційну інформацію, включаючи секретні ключі, текстові повідомлення чату, відомості про бекенд і журнали” – дослідники Wiz
У відкритій базі даних DeepSeek опинилися понад 1 млн записів – серед них: історії чатів користувачів, API-токени автентифікації та секретні ключі.
За словами дослідників Wiz, вразливість також дозволяла зловмисникам потенційно отримувати паролі у відкритому вигляді, завантажувати локальні файли та отримувати доступ до пропрієтарної інформації сервера.
Крім цього, зазначається, що через відсутність механізмів захисту можна було повністю управляти базою даних DeepSeek та підвищувати привілеї у системі без автентифікації.
Наразі вразливість вже усунена — база даних закрита. У самій DeepSeek поки що не прокоментували ситуацію.
«Оскільки організації поспішають прийняти інструменти та послуги ШІ від зростаючої кількості стартапів та постачальників, важливо пам’ятати, що, роблячи це, ми довіряємо цим компаніям конфіденційні дані. Швидкі темпи прийняття часто призводять до ігнорування безпеки, але захист даних клієнтів має залишатися головним пріоритетом. Вкрай важливо, щоб команди з безпеки тісно співпрацювали з інженерами ШІ, щоб забезпечити прозорість архітектури, інструментів і моделей, щоб ми могли захистити дані і запобігти їх витоку» – Wiz Research