Исследователи Wiz Research нашли в открытом доступе базу данных DeepSeek с историей чатов пользователей — компания уже её удалила
После того, как специалисты Wiz сами сообщили ей об уязвимости.
База данных ClickHouse. Источник: Wiz Research
- Специалисты в области кибербезопасности из Wiz Research решили оценить уровень конфиденциальности в нашумевшей DeepSeek и «за несколько минут» нашли общедоступную базу данных ClickHouse — это система, разработанная «Яндексом».
В ней хранилась история чатов, ключи API, данные о бэкенде и операционные метаданные — «миллионы строк» в журналах, которые велись с 6 января 2025 года.
Уязвимость позволяла «полностью контролировать базу данных без какой-либо аутентификации или механизма защиты».
Исследователи использовали HTTP-интерфейс ClickHouse, чтобы напрямую выполнять SQL-запросы через браузер. Запрос Show tables показал папки с конфиденциальными данными. Источник: Wiz Research
- Специалисты обратились к DeepSeek и компания удалила данные менее чем через час, рассказал Reuters технический директор Wiz.
Их было так просто найти, что мы уверены — мы не единственные, кто их обнаружил.
- В 2024 году DeepSeek выпустила превью модели R1 с возможностью рассуждений, а в январе 2025 года — её полную версию. Через неделю чат-бот компании возглавил топ бесплатных приложений в российском и американском App Store. На фоне этого упали акции ИТ-компаний из разных стран.
69 комментариев