172
У мережу потрапили особисті дані користувачів китайського ШІ-стартапу DeepSeek
— Фондовий ринок
Експерти з компанії Wiz Research, що спеціалізується на хмарній безпеці, виявили витік бази даних DeepSeek, що містить історію чатів, приватні ключі, деталі бекенду та іншу конфіденційну інформацію. Про це повідомляють у блозі компанії.
Китайський технологічний стартап DeepSeek нещодавно привернув увагу, коли презентував нову модель ШІ, яка, за словами компанії, не поступається аналогам від американських компаній, таких як OpenAI, розробник ChatGPT, і є більш економічно ефективною у використанні дорогих чипів Nvidia для навчання системи на величезних обсягах даних.
Експерти Wiz Research провели аналіз безпеки DeepSeek на предмет можливих вразливостей. Уже через кілька хвилин аналітики виявили відкриту базу даних ClickHouse, пов’язану з DeepSeek. Вона не вимагала аутентифікації, що надавало доступ до конфіденційної інформації.
Уразливість давала змогу повністю контролювати базу даних і підвищувати привілеї в середовищі DeepSeek без механізму захисту.
Прогалини в захисті вдалося виявити шляхом пошуку та аналізу піддоменів. Спочатку Wiz Research виявили близько 30, що виходять в інтернет. Більшість із них не становили підвищеного ризику.
Розширивши пошук за межі стандартних HTTP-портів (80/443), вдалося виявити два незвичайних відкритих шлюзи (8123 і 9000). Вони вели до відкритої бази даних ClickHouse.
ClickHouse — це колонкова система управління базами даних. Вона була розроблена компанією Яндекс у 2016 році й тепер є проєктом з відкритим вихідним кодом.
Зазначається, що команда Wiz Research повідомила про проблему DeepSeek після чого стартап оперативно усунув її.
DeepSeek як альтернатива ChatGPT: у чому революційність цієї моделі ШІ
За матеріалами: Мінфін.com.ua
Поділитися новиною
