«DeepSeek допустила большую утечку данных», — пишут исследователи безопасности из Wiz Research, которые обнаружили общедоступную базу данных ClickHouse. Она принадлежит DeepSeek.
«Компания Wiz Research обнаружила „DeepLeak“ — общедоступную базу данных ClickHouse, принадлежащую DeepSeek, которая раскрывает крайне конфиденциальную информацию, включая секретные ключи, текстовые сообщения чата, сведения о бэкэнде и журналы»— исследователи Wiz
В открытой базе данных DeepSeek оказались более 1 млн записей — среди них: истории чатов пользователей, API-токены аутентификации и секретные ключи.
По словам исследователей Wiz, уязвимость также позволяла злоумышленникам потенциально извлекать пароли в открытом виде, загружать локальные файлы и получать доступ к проприетарной информации сервера.
Помимо этого, отмечается, что из-за отсутствия механизмов защиты можно было полностью управлять базой данных DeepSeek и повышать привилегии в системе без аутентификации.
Сейчас уязвимость уже устранена — база данных закрыта. В самой DeepSeek пока не прокомментировали ситуацию.
«Поскольку организации спешат принять инструменты и услуги ИИ от растущего числа стартапов и поставщиков, важно помнить, что, делая это, мы доверяем этим компаниям конфиденциальные данные. Быстрые темпы принятия часто приводят к игнорированию безопасности, но защита данных клиентов должна оставаться главным приоритетом. Крайне важно, чтобы команды по безопасности тесно сотрудничали с инженерами ИИ, чтобы обеспечить прозрачность архитектуры, инструментов и используемых моделей, чтобы мы могли защитить данные и предотвратить их утечку»— Wiz Research