У DeepSeek большая утечка данных. Что известно о сливе?
База данных была без пароля.
Американская компания Wiz Research, специализирующаяся на кибербезопасности, обнаружила в открытом доступе базу данных DeepSeek.
Оказалось, что китайский стартап случайно оставил без защиты более 1 млн строк информации, находящихся в базе данных ClickHouse. Среди них истории чатов пользователей, API-токены аутентификации и секретные ключи.
По словам исследователей, злоумышленники могли извлекать пароли, загружать локальные файлы и получить доступ к проприетарной информации сервера. Уязвимость позволяла осуществлять полный контроль над базой данных и повышать привилегии в системе без аутентификации.
Разработчики китайского стартапа быстро отреагировали. Сейчас уязвимость полностью устранена: база данных закрыта.
В DeepSeek так и не прокомментировали ситуацию.
«Они удалили данные менее чем за час. Но уязвимость было так просто найти, что мы уверены: мы не единственные, кто ее обнаружил», – сказал Ами Латтвак, технический директор Wiz Research.
В Wiz Research уверены, что слив произошел случайно. По мнению специалистов, многие компании, занимающиеся разработкой и поставкой ИИ-услуг, торопятся выйти на рынок. Из-за быстрых темпов зачастую игнорируется безопасность и защита данных клиентов. DeepSeek и другие разработчики нейросетей должны понимать риски, связанные с обработкой конфиденциальных данных, и продумывать систему безопасности, чтобы минимизировать вероятность утечек.
* * *
Китайский ИИ перевернул IT-индустрию! Вот все, что нужно знать о DeepSeek
Microsoft расследует возможную утечку данных OpenAI. Их могли использовать для обучения DeepSeek
