DeepSeek раскрыл историю чатов и другие конфиденциальные данные, сообщают исследователи безопасности

В результате серьезного нарушения безопасности китайский ИИ-чат-бот DeepSeek раскрыл историю чатов и другие конфиденциальные данные в базе данных, доступной без какой-либо аутентификации.

Исследователи безопасности, обнаружившие проблему, сообщают, что утечка включала более миллиона строк лог-записей, которые содержали историю чатов и секретные ключи…

Ранее сегодня мы отмечали, что DeepSeek находится под следствием в Европе и США по поводу опасений по поводу конфиденциальности и национальной безопасности. Приложение — которое по-прежнему находится на первом месте в App Store от Apple — было удалено из Италии после того, как надзорный орган по защите данных страны выразил обеспокоенность, и этот шаг, вероятно, будет повторен в других странах.

В дополнение к любым рискам, создаваемым политикой и практикой конфиденциальности компании, исследователи безопасности обнаружили серьезный недостаток в безопасности. Wiz Research описывает, что они нашли.

Wiz Research обнаружила общедоступную базу данных ClickHouse, принадлежащую DeepSeek, которая позволяет полный контроль над операциями базы данных, включая доступ к внутренним данным. Утечка включает более миллиона строк потоков логов […]

В течение нескольких минут мы обнаружили [базу данных] полностью открытой и без аутентификации, раскрывающей конфиденциальные данные [включая] значительный объем истории чатов, серверные данные и конфиденциальную информацию, включая потоки логов, API-ключи и операционные детали.

Проблема заключалась в том, что компания создала базу данных ClickHouse вообще без аутентификации.

ClickHouse — это система управления базами данных с открытым исходным кодом, ориентированная на столбцы, предназначенная для быстрых аналитических запросов к большим наборам данных. Она была разработана Яндексом и широко используется для обработки данных в реальном времени, хранения логов и аналитики больших данных, что делает такую утечку очень ценным и чувствительным открытием.

Именно в одном из этих наборов данных, log_stream, были найдены конфиденциальные данные.

Wiz не смог найти контакт по безопасности для уведомления, поэтому пришлось спамить каждый найденный ими адрес электронной почты компании, чтобы раскрыть свои находки. Впоследствии DeepSeek обезопасила базу данных.

• Конфиденциальность DeepSeek под следствием в США и Европе; удален из App Store в Италии
• Акции Apple выросли на 3% после новостей о DeepSeek, в то время как другие технологические акции упали
• Три способа, которыми Apple сейчас выигрывает от раннего успеха DeepSeek в области ИИ
• Китайский DeepSeek занял №1 в App Store, шокировал исследователей ИИ, акции американских технологических компаний рухнули
• 9to5Neural: Оператор ChatGPT, цитаты Клода, DeepSeek R1

Фото: Стив Джонсон на Unsplash