DeepSeek допустила большую утечку данных — более миллиона записей

В открытом доступе оказались в том числе истории чатов пользователей. Сейчас уязвимость уже устранена.

DeepSeek допустила большую утечку данных — более миллиона записей
Источник изображения: Wiz Research

«DeepSeek допустила большую утечку данных», — пишут исследователи безопасности из Wiz Research, которые обнаружили общедоступную базу данных ClickHouse. Она принадлежит DeepSeek.

«Компания Wiz Research обнаружила „DeepLeak“ — общедоступную базу данных ClickHouse, принадлежащую DeepSeek, которая раскрывает крайне конфиденциальную информацию, включая секретные ключи, текстовые сообщения чата, сведения о бэкэнде и журналы»
— исследователи Wiz

В открытой базе данных DeepSeek оказались более 1 млн записей — среди них: истории чатов пользователей, API-токены аутентификации и секретные ключи.

По словам исследователей Wiz, уязвимость также позволяла злоумышленникам потенциально извлекать пароли в открытом виде, загружать локальные файлы и получать доступ к проприетарной информации сервера.

Помимо этого, отмечается, что из-за отсутствия механизмов защиты можно было полностью управлять базой данных DeepSeek и повышать привилегии в системе без аутентификации.

Сейчас уязвимость уже устранена — база данных закрыта. В самой DeepSeek пока не прокомментировали ситуацию.

«Поскольку организации спешат принять инструменты и услуги ИИ от растущего числа стартапов и поставщиков, важно помнить, что, делая это, мы доверяем этим компаниям конфиденциальные данные. Быстрые темпы принятия часто приводят к игнорированию безопасности, но защита данных клиентов должна оставаться главным приоритетом. Крайне важно, чтобы команды по безопасности тесно сотрудничали с инженерами ИИ, чтобы обеспечить прозрачность архитектуры, инструментов и используемых моделей, чтобы мы могли защитить данные и предотвратить их утечку»
— Wiz Research