prywatnie.eu - prywatność w sieci
Chiński startup AI, DeepSeek, znany z modelu językowego DeepSeek-R1, przypadkowo ujawnił dwie bazy danych zawierające wrażliwe informacje dotyczące użytkowników i operacji firmy.
Jak informuje portal BleepingComputer, niezabezpieczone instancje ClickHouse przechowywały ponad milion wpisów logów, które zawierały historię czatów użytkowników w formie jawnego tekstu, klucze API, szczegóły dotyczące zaplecza systemu oraz metadane operacyjne.
Incydent został wykryty przez firmę Wiz Research podczas oceny bezpieczeństwa infrastruktury zewnętrznej DeepSeek.
Eksperci ds. cyberbezpieczeństwa znaleźli dwie publicznie dostępne bazy danych pod adresami oauth2callback.deepseek.com:9000 oraz dev.deepseek.com:9000, które umożliwiały dowolne zapytania SQL poprzez interfejs webowy – bez konieczności logowania.
W bazach danych znajdowała się tabela „log_stream”, zawierająca wewnętrzne logi z 6 stycznia 2025 r., w tym:
- zapytania użytkowników do chatbota DeepSeek,
- klucze wykorzystywane przez systemy zaplecza do autoryzacji wywołań API,
- informacje o infrastrukturze wewnętrznej i usługach,
- różne metadane operacyjne.
„Taki poziom dostępu stanowił poważne zagrożenie zarówno dla bezpieczeństwa DeepSeek, jak i jego użytkowników” – komentuje firma Wiz.
Atakujący mogli nie tylko pobrać poufne logi i treść rozmów, ale także uzyskać dostęp do haseł w formie jawnej oraz plików serwera, a choćby wydobyć własnościowe informacje dzięki odpowiednich zapytań SQL – w zależności od konfiguracji ClickHouse.
Wiz podkreślił, iż mógł przeprowadzić bardziej inwazyjne zapytania, ale ograniczył się jedynie do analizy struktury bazy danych, aby zachować zgodność z zasadami etyki badawczej.
Nie wiadomo, czy badacze z Wiz byli pierwszymi, którzy odkryli ten incydent, czy też luki zostały już wcześniej wykorzystane przez cyberprzestępców.
Tak czy inaczej, po otrzymaniu zgłoszenia DeepSeek gwałtownie zareagował i zabezpieczył dane – w tej chwili bazy nie są już publicznie dostępne.
Problemy z bezpieczeństwem DeepSeek
Poza obawami związanymi z faktem, iż DeepSeek jest firmą technologiczną z Chin – co oznacza, iż musi przestrzegać rygorystycznych przepisów dotyczących dostępu do danych przez rząd – startup nie wydaje się mieć solidnej polityki bezpieczeństwa, co naraża poufne informacje na ryzyko.
Ujawnienie zapytań użytkowników to poważne naruszenie prywatności, zwłaszcza dla firm korzystających z modelu AI do przetwarzania wrażliwych danych biznesowych.
Dodatkowo, wyciek szczegółów zaplecza systemu i kluczy API mógł umożliwić cyberprzestępcom dostęp do wewnętrznych sieci DeepSeek, eskalację uprawnień, a choćby przeprowadzenie ataków na większą skalę.
Na początku tego tygodnia DeepSeek padł także ofiarą uporczywych cyberataków, którym nie zdołał zapobiec, co zmusiło firmę do tymczasowego zawieszenia rejestracji nowych użytkowników na prawie 24 godziny.
![Konkursy są dobre na wszystko! [FELIETON MARTENKI]](https://angora24.pl/wp-content/uploads/2025/01/muzeum-slaskie.jpg)
