🚀 DeepSeek допустив витік персональних даних
опубліковано 15 год тому
Дослідження Wiz Research викрило критичну вразливість китайського ШІ-застосунку DeepSeek. Виявилося, що база даних сервісу була відкрита для публічного доступу, що призвело до витоку секретних ключів та інших чутливих даних.
Що сталося?
DeepSeek — китайський стартап, який нещодавно буквально «вистрілив» своєю новою ШІ-моделлю, водночас обваливши ринок акцій глобальних технологічних компаній. Однак його швидке зростання супроводжувалося критичними прогалинами в безпеці. Група дослідників Wiz виявила відкриту базу даних ClickHouse, що належить DeepSeek. Ця база перебувала в публічному доступі, що дало змогу зловмисникам отримати повний контроль над внутрішніми операціями компанії.
База даних містила понад мільйон рядків з:
- історією чатів користувачів;
- секретними API-ключами;
- внутрішніми даними про бекенд DeepSeek;
- високочутливою інформацією користувачів, зокрема їхні особисті дані.
Що ще більш тривожно, доступ до цих даних міг призвести до ескалації привілеїв у системі DeepSeek, дозволяючи третім особам маніпулювати внутрішніми процесами компанії.
Як було виявлено витік?
Дослідники Wiz Research почали вивчення вразливостей DeepSeek, аналізуючи його публічні домени. У процесі вони виявили величезну кількість відкритих портів (8123 і 9000) на серверах oauth2callback.deepseek.com і dev.deepseek.com. Ці порти вели до незахищеної бази даних ClickHouse, даючи змогу виконувати SQL-запити без будь-яких обмежень.
Виконавши команду SHOW TABLES;, дослідники виявили таблицю log_stream, що містить великі журнали активності, зокрема:
- часові мітки повідомлень користувачів;
- взаємодії з внутрішніми API DeepSeek;
- історію чатів, ключі API та операційні дані.
Більшість портів DeepSeek не захищені від зовнішнього доступу. Джерело: wiz.io
Цей рівень доступу становить величезний ризик не тільки для самого проєкту DeepSeek, а й для всіх його клієнтів. Зловмисники могли читати повідомлення, викрадати паролі, особисті файли та інші конфіденційні дані.
Що це означає для користувачів?
Цей витік підтверджує, що швидкий розвиток AI-технологій часто йде всупереч безпеці. Компанії поспішають розгортати передові рішення, конкуруючи за місце лідера на ринку. Водночас вони повністю ігнорують базові принципи захисту даних. У випадку DeepSeek незахищеність бази даних призвела до серйозної компрометації особистих даних користувачів.
І варто вкотре нагадати про базові правила роботи в інтернеті:
- Використовуйте складні паролі та двофакторну аутентифікацію.
- Перевіряйте, які дані передаються в чат-ботах.
- Обмежуйте використання чутливої інформації в AI-сервісах.
Випадок із DeepSeek — тривожний дзвінок для всіх, хто використовує AI-застосунки, нагадуючи про важливість захисту особистої інформації.
Більше актуальних новин
Більше актуальних новин
Breaking news
NBIM збільшив непряме володіння біткоїном до $356,7 млн
