Китайский стартап DeepSeek, который разрабатывает глобальные языковые модели, не уделил должного внимания безопасности данных, как утверждают исследователи из Wiz Research.
Они смогли получить доступ к нескольким базам данных DeepSeek.
Важно отметить, что речь не идёт о взломе. Специалисты Wiz Research обнаружили, что разработчики DeepSeek не использовали пароли для публичных экземпляров базы данных ClickHouse, что позволяло любому пользователю получить доступ к этим данным.
Исследователи обнаружили, что в базах содержались логи чатов пользователей DeepSeek, ключи для доступа к API и другая внутренняя информация компании. Без аутентификации можно было выполнять любые операции с этими данными.
Теоретически, это могло позволить злоумышленнику получить контроль над инфраструктурой DeepSeek. Однако представители Wiz Research решили не проводить эксперименты и связались с разработчиками DeepSeek, которые затем закрыли доступ к базам.
Пока неизвестно, получили ли доступ к базам данных DeepSeek хакеры, но такая возможность существует, так как открытые базы были обнаружены путём простого сканирования паролей. Если это произошло, то злоумышленник мог получить не только данные из баз, но и файлы с серверов стартапа.
Представители DeepSeek пока не прокомментировали возможную утечку данных.
Подождём оф.ответа(если он будет), а так надеюсь они добавят таки пароль и/или шифрование в скором времени. И таки не ясно, воспользовались этой дырой хацкеры и прочие хулиганы🫠
Если и воспользовались, то об этом публично пока не будут говорить, пока не найдут способ как на этом заработать. Но не думаю что они прошли мимо такого нашумевшего, молодого и дешёвого стартапа (А раз дешёвый, то явно информ безопасность не на самом высоком уровне и можно попытаться поискать бреши)
Мда уж. Это одна из причин почему нельзя нейросети говорить конфиденциальную информацию
И почему они так халатно отнеслись к безопасности? Это же не какая то компания по производству дакимакур, а вполне себе нашумевший IT проект