ru24.pro
Trashbox.ru
Календарь
Январь
2025
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

База данных DeepSeek оказалась в открытом доступе: с историей чатов и не только

0
Trashbox.ru 

Вчера, 29 января, специалисты компании Wiz Research сообщили, что им удалось обнаружить на просторах интернета общедоступную базу данных ClickHouse (система управления базами данных с открытым исходным кодом, разработанная компанией Яндекс), которая связана с искусственным интеллектом DeepSeek. Она, по словам исследователей, предоставляет пользователям с определёнными техническими навыками возможность производить различного рода операции, получая доступ к внутренним данным чат-бота — в открытой базе имеется миллион записей с историей чатов, секретными ключами, данными бэкэнда и другой крайне конфиденциальной информацией, которую разработчики нового ИИ не смогли надёжно защитить.

«В течение нескольких минут нам удалось обнаружить общедоступную базу данных ClickHouse, связанную с DeepSeek, которая была полностью открытой, не требовала аутентификации и раскрывала конфиденциальные данные. Эта база была размещена на oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000», — рассказали специалисты Wiz Research.

Более того, исследователи сообщили о том, что им удалось получить полный контроль над данной базой данных и возможность повышать привилегии в среде DeepSeek тоже без необходимости проходить аутентификацию. У обнаруженной БД просто не было механизма защиты от вмешательства извне. Соответственно, используя обычный HTTP-интерфейс базы данных ClickHouse представители Wiz Research смогли напрямую выполнять произвольные SQL-запросы в базу данных через браузер.

Благодаря команде show tables им удалось раскрыть доступный набор данных — включая таблицу log_stream, в которой хранятся обширные журналы с конфиденциальными данными.

Исследователи заявили, что данный уровень доступа предоставляет злоумышленникам возможность получить даже фактические текстовые сообщения из чатов, а также текстовые пароли и локальные файлы с важной информацией пользователей прямо с сервера DeepSeek.

Естественно, вся эта информация попала на официальный сайт Wiz Research только после того, как подробное описание уязвимости отправили разработчикам нашумевшего ИИ — на данный момент дыра в защите уже устранена. Хотя, конечно, если злоумышленники догадались до аналогичных манипуляций с базой данных раньше исследователей из Wiz Research, то им, вероятно, удалось сохранить приличный пласт конфиденциальной информации самой DeepSeek и её пользователей.