Данные пользователей DeepSeek утекли в сеть

Исследователи Wiz Research обнаружили утечку базы данных DeepSeek, содержащей историю чатов, приватные ключи, детали бэкэнда и другую конфиденциальную информацию. Об этом сообщается в блоге компании.

После шумихи вокруг китайского стартапа эксперты Wiz Research провели анализ его безопасности на предмет возможных уязвимостей. Уже через несколько минут аналитики обнаружили открытую базу данных ClickHouse, связанную с DeepSeek. Она не требовала аутентификации, что предоставляло доступ к конфиденциальной информации.

Уязвимость позволяла полностью контролировать базу данных и повышать привилегии в среде DeepSeek без механизма защиты.

Пробелы в защите удалось выявить путем поиска и анализа поддоменов. Сначала Wiz Research обнаружили около 30, выходящих в интернет. Большинство из них не представляли повышенного риска. Расширив поиск за пределы стандартных HTTP-портов (80/443), удалось обнаружить два необычных открытых шлюза (8123 и 9000). Они вели к открытой базе данных ClickHouse.

ClickHouse — это колоночная система управления базами данных. Она была разработана компанией Яндекс в 2016 году и теперь является проектом с открытым исходным кодом.

Команда Wiz Research сообщила о проблеме DeepSeek, стартап оперативно устранил ее.

Источник: cryptocurrency.tech