Эксперты по кибербезопасноти из Wiz Research обнаружили дыру в безопасности нашумевшего китайского чат-бота DeepSeek, которая позволила им получить доступ к базе данных с миллионами запросов пользователей со всего мира.
Wiz Research обнаружила общедоступную базу данных ClickHouse, принадлежащую DeepSeek, которая позволяет полностью контролировать операции с базой данных, включая возможность доступа к конфиденциальным данным пользователей. Например, специалисты смогли получить историю чатов, секретные ключи, сведения о бэкэнде и другую информацию. Разумеется, команда Wiz Research сразу же уведомила разработчиков DeepSeek, а те моментально закрыли доступ к базе данных.
Примечательно, что данные хранились в незашифрованном виде в открытом доступе на серверах DeepSeek для разработчиков. Мы же рекомедуем никогда не вводить даже в самые защищённые чат-боты, нейросети, поисковики, мессенджеры и прочие интернет-сервисы конфиденциальную информацию.
Обновлено:
Источник в сфере информационной безопасности разъяснил ситуацию с утечкой данных в DeepSeek:
«ClickHouse — это не база данных, а система управления базами данных, опенсорс-продукт независимой компании. Когда бизнес использует в опенсорсе продукт, то самостоятельно настраивает его безопасность».
