Китайский стартап DeepSeek, создающий большие языковые модели мирового уровня, не подумал о безопасности данных, пишут исследователи из Wiz Research. Им удалось получить доступ к нескольким базам данных DeepSeek.
О взломе речь не идёт. В Wiz Research обнаружили, что разработчики DeepSeek просто не установили пароли на публично доступные инстансы базы данных ClickHouse; зная адреса, к ним мог обращаться кто угодно.
Базы данных содержали логи чатов пользователей DeepSeek, ключи для доступа к API и другую внутреннюю информацию компании. Без аутентификации можно было проводить любые операции с базами.
Wiz Research
Потенциально, пишут исследователи, речь шла о и получении контроля над инфраструктурой DeepSeek. Проводить этот эксперимент в Wiz Research не стали, компания связалась с разработчиками DeepSeek и те закрыли доступ к базам.
Неизвестно, получили ли доступ к базам данных DeepSeek злоумышленники, но это возможно: открытые базы нашли простым сканированием паролей. Если это произошло, то потенциально злоумышленник мог получить не только данные из баз, но и файлы с серверов стартапа.
Представители DeepSeek пока не комментировали возможную утечку данных.