Исследователи из Wiz сообщили об обнаружении открытой базы данных китайского стартапа DeepSeek, которая содержала чувствительную информацию. Открытый доступ к базе данных был найден буквально за минуты, без какой-либо аутентификации. Среди раскрытых данных были истории чатов пользователей, ключи аутентификации API и системные журналы.
База данных DeepSeek была размещена в системе управления данными с открытым исходным кодом ClickHouse и содержала более миллиона строк журнала. Wiz отметила, что эта ситуация могла привести к полному контролю над базой данных и потенциальному повышению привилегий в среде DeepSeek. Это могло бы дать злоумышленникам доступ к внутренним системам стартапа.
После уведомления Wiz, DeepSeek оперативно обеспечила безопасность базы данных. Нет информации, имел ли кто-то еще доступ к раскрытым данным, но исследователи отметили, что это было бы неудивительно, учитывая простоту обнаружения базы данных.
Интересно, что системы DeepSeek имеют схожий дизайн с системами OpenAI, вплоть до формата ключей API. Ранее на этой неделе OpenAI обвинила DeepSeek в использовании своих данных для тренировки своих ИИ-моделей.
