Відкриті двері для хакерів: DeepSeek залишив у мережі конфіденційні дані

Дослідники з Wiz Research виявили у відкритому доступі базу даних ClickHouse, що містить понад мільйон записів конфіденційної інформації користувачів китайського AI-асистента DeepSeek. У відкритому доступі опинилися незашифровані чати, секретні ключі, логи, а також дані серверів і бекенду.

«Ми провели розвідку публічної інфраструктури DeepSeek і натрапили на базу даних, яка не вимагала жодної автентифікації. Це означало, що будь-хто міг отримати доступ до журналів, що містять реальні повідомлення чату, внутрішні секрети та системні дані», — повідомили спеціалісти Wiz Research.

Після виявлення вразливості команда Wiz негайно повідомила DeepSeek, і компанія оперативно обмежила доступ, видаливши базу даних із мережі.

Політика конфіденційності під питанням

З'ясувалося, що база ClickHouse була доступна на серверах oauth2callback.deepseek.com:9000 і dev.deepseek.com:9000. Інцидент ставить під сумнів заходи захисту даних, які заявляє DeepSeek. Відповідно до політики конфіденційності компанії, вся інформація користувачів зберігається на захищених серверах у Китаї. Проте експерти з'ясували, що особисті дані користувачів, включаючи IP-адреси, логи, дані про пристрої, куки, звіти про збої, а також ритми натискання клавіш, залишаються на серверах DeepSeek навіть після видалення акаунта.

Компанія Wiz Research, що спеціалізується на кібербезпеці з 2020 року, продовжує моніторинг хмарних сервісів на предмет вразливостей. Тим часом ситуація з DeepSeek знову піднімає питання про безпеку персональних даних користувачів AI-сервісів.