W major bezpieczeństwo Niepowodzenie, chińskie Ai Chatbot Deepseek Historia czatów narażonych i inne wrażliwe dane W bazie danych dostępnej bez uwierzytelnienia.
Badacze bezpieczeństwa, którzy odkryli ten problem, twierdzą, iż ekspozycja obejmowała ponad milion wierszy wpisów dziennika, w tym historię czatu i tajne klucze…
Wcześniej zauważyliśmy, iż Deepseek jest badany zarówno w Europie, jak i w Stanach Zjednoczonych obawy dotyczące prywatności i bezpieczeństwa narodowego. Aplikacja – która wciąż siedzi Na szczycie Apple App Store – Został usunięty we Włoszech po tym, jak krajowy organ nadzorczy w kraju wyraził obawy, a ruch może się powtórzyć w innych krajach.
Oprócz wszelkich zagrożeń stworzonych przez politykę i praktyki prywatności firmy, badacze bezpieczeństwa odkryli poważną wadę bezpieczeństwa. Badania Wiz opisuje, co znalazł.
WIZ Research zidentyfikowało publicznie dostępną bazę danych Clickhouse należącą do DeepSeek, która umożliwia pełną kontrolę nad operacjami bazy danych, w tym możliwość dostępu do danych wewnętrznych. Ekspozycja obejmuje ponad milion linii strumieni dziennika […]
W ciągu kilku minut znaleźliśmy [the database] całkowicie otwarte i nieautentyczne, ujawniając poufne dane [including] Znaczny wolumin historii czatu, danych backend i poufnych informacji, w tym strumienie dzienników, tajemnice interfejsu API i szczegóły operacyjne.
Problem polegał na tym, iż firma stworzyła bazę danych Clickhouse bez żadnego uwierzytelnienia.
Clickhouse to open source, kolumnowy system zarządzania bazą danych zaprojektowany do szybkich zapytań analitycznych na dużych zestawach danych. Został opracowany przez Yandex i jest szeroko stosowany do przetwarzania danych w czasie rzeczywistym, przechowywania dziennika i analizy dużych danych, co wskazuje na taką ekspozycję jako bardzo cenne i wrażliwe odkrycie.
W jednym z tych zestawów danych, log_stream, znaleziono wrażliwe dane.
Wiz nie mógł znaleźć kontaktu z bezpieczeństwem, aby powiadomić, więc ostatecznie musiał spamować każdy adres e -mail, jaki mógł znaleźć dla firmy w celu ujawnienia jej ustaleń. Deepseek następnie zabezpieczył bazę danych.
Zdjęcie przez Steve Johnson NA Unsplash
FTC: Używamy dochodów z automatycznych linków partnerskich. Więcej.
Source link
