Из DeepSeek утекли миллионы конфиденциальных данных
Американская компания Wiz Research, занимающаяся кибербезопасностью, заявила, что обнаружила в открытом интернете конфиденциальные данные, принадлежащие DeepSeek. Сообщается, что китайский стартап случайно оставил более миллиона строк информации, находящиехся в базе данных ClickHouse, без защиты. Это история чатов, секретные ключи, сведения о серверной части и многое другое, включая высокочувствительную информацию.
Компания DeepSeek и ее одноименная ИИ-модель с приставкой R1 сейчас находятся у всех на слуху. Оно и не удивительно, так как при минимальных затратах стартапу удалось создать мощного чат-бота, сравнимого с последними версиями GPT от OpenAI. Естественно, что ажиотаж вокруг нейросети из Поднебесной вызвал у специалистов и вопросы касательно безопасности.
Так, исследователи из Wiz Research рассказали, что им потребовалось всего несколько минут, чтобы найти общедоступную базу данных ClickHouse, связанную с DeepSeek. Она оказалась полностью открытой и содержала различного рода конфиденциальные, включая высокочувствительные данные. Истории чатов, серверные данные, потоки журналов, секреты API и рабочие детали.
Что еще более важно, уязвимость позволяла осуществлять полный контроль над базой данных и потенциальную эскалацию привилегий в среде DeepSeek без какой-либо аутентификации или защитного механизма для внешнего мира. Чтобы столь ценные материалы не попали к злоумышленникам, Wiz Research немедленно предупредила разработчиков из DeepSeek об уязвимости, и компания быстро устранила ее.
Они разобрались с этим меньше чем за час. Но это было так просто [найти базу данных], что мы думаем, что мы не единственные, кто это обнаружил.Ами Латтвактехнический директор Wiz Research
В Wiz Research отмечают, что данная оплошность со стороны DeepSeek не была намеренной и действительно произошла случайно. Все потому, что многие компании, занимающиеся ИИ, быстро превратились в поставщиков критически важной инфраструктуры без систем безопасности, которые обычно сопровождают такое повсеместное внедрение. Поэтому DeepSeek и другие IT-игроки в области нейросетей должны осознавать риски, связанные с обработкой конфиденциальных данных, и внедрять методы обеспечения безопасности.
Ранее мошенники придумали новую схему с фейковым DeepSeek. Они создали сайты, на которых якобы можно предзаказать криптовалюту, связанную с нейросетью.
