Wiz Research выявила открытую базу данных DeepSeek с конфиденциальными данными
Компания Wiz Research, специализирующаяся на кибербезопасности, обнаружила в сети открытую базу данных китайского AI-ассистента DeepSeek. Внутри хранились незашифрованные чаты пользователей, секретные ключи API, серверные логи и другая конфиденциальная информация.Как Wiz Research обнаружила уязвимость в инфраструктуре DeepSeek
Исследователи обнаружили, что база данных ClickHouse, расположенная по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000, была полностью открытой и не требовала аутентификации. Это давало возможность любому получить доступ к:Чатам пользователей, включая текстовые запросы и ответы AI.
Секретным ключам для работы с внутренними сервисами.
Логам серверов и техническим данным бэкенда.
Административным данным, которые могли позволить злоумышленникам повысить привилегии на сервере.
После обнаружения уязвимости Wiz Research немедленно уведомила DeepSeek, и компания оперативно ограничила доступ к базе данных.
Политика конфиденциальности DeepSeek и риски для пользователей
Согласно Privacy Policy DeepSeek, сервис собирает и хранит данные пользователей на серверах в Китае. В число собираемой информации входят:IP-адреса и user-agent пользователей.
Шаблоны нажатий клавиш и данные об устройствах.
Файлы cookie, отчёты о сбоях и логи производительности.
Язык системы и операционная среда.
Важно отметить, что удаление учётной записи пользователя не означает автоматического удаления всех собранных данных, что может представлять дополнительные риски в случае утечек.
Wiz Research продолжает анализ инцидента и напоминает, что подобные случаи демонстрируют важность строгих мер кибербезопасности в AI-стартапах.