Китайський стартап DeepSeek допустила великий витік даних. Особиста інформація більне мільйона користувачів DeepSeek була вивлена дослідниками безпеки з компанії Wiz Research.
«Компанія Wiz Research виявила «DeepLeak» – загальнодоступну базу даних ClickHouse, що належить DeepSeek, яка розкриває вкрай конфіденційну інформацію, включно із секретними ключами, текстовими повідомленнями чату, відомостями про бекенд і журналами», – заявили дослідники Wiz.
У відкритій базі даних DeepSeek опинилися понад 1 млн записів – серед них: історії чатів користувачів, API-токени автентифікації та секретні ключі.
За словами дослідників Wiz, уразливість також давала змогу зловмисникам потенційно витягувати паролі у відкритому вигляді, завантажувати локальні файли й отримувати доступ до пропрієтарної інформації сервера.
Крім цього, наголошується, що через відсутність механізмів захисту можна було повністю керувати базою даних DeepSeek і підвищувати привілеї в системі без аутентифікації.
Наразі вразливість уже усунуто – базу даних закрито. У самій DeepSeek поки не прокоментували ситуацію.
«Оскільки організації поспішають прийняти інструменти та послуги ШІ від зростаючої кількості стартапів і постачальників, важливо пам’ятати, що, роблячи це, ми довіряємо цим компаніям конфіденційні дані. Швидкі темпи прийняття часто призводять до ігнорування безпеки, але захист даних клієнтів має залишатися головним пріоритетом. Вкрай важливо, щоб команди з безпеки тісно співпрацювали з інженерами ШІ, щоб забезпечити прозорість архітектури, інструментів і моделей, що використовуються, щоб ми могли захистити дані та запобігти їхньому витоку», – пояснили у Wiz Research.