Нью-Йоркська компанія Wiz Inc., яка спеціалізується на кібербезпеці у хмарних середовищах, заявила, що виявила незахищену базу даних китайського AI-стартапу DeepSeek. Через відсутність належного захисту база була відкрита для загального доступу в інтернеті, повідомляє SiliconAngle.
Після зростання популярності DeepSeek Wiz вирішила перевірити безпеку системи. Дослідники виявили вразливість буквально за кілька хвилин.
«База даних була повністю відкритою, без автентифікації, що давало можливість будь-кому отримати доступ до чутливих даних», — повідомив дослідник кібербезпеки Gal Nagli у блозі Wiz.
Що містилося у відкритій базі DeepSeek?
За даними Wiz, база даних містила мільйони рядків конфіденційної інформації, зокрема:
- історію чатів користувачів,
- запити до ШІ,
- внутрішні API-ключі,
- операційні дані бекенду.
Більш небезпечною була можливість отримати повний контроль над базою та розширити привілеї у середовищі DeepSeek.
«Зловмисники могли не лише отримати конфіденційні журнали та повідомлення, а й витягнути паролі у відкритому вигляді й локальні файли із сервера», — зазначив Nagli.
DeepSeek оперативно закрила вразливість
Після повідомлення Wiz про проблему DeepSeek швидко виправила ситуацію. Проте інцидент трапився у вкрай несприятливий момент — саме тоді, коли DeepSeek активно привертає увагу інвесторів і розробників AI.
DeepSeek уже була мішенню атак
Різке зростання популярності DeepSeek зробило її ціллю для хакерів. У той же день, коли було виявлено витік даних, система реєстрації DeepSeek зазнала масованої атаки, через що була тимчасово недоступною.
Аналітики припускають, що атака могла бути навмисною спробою перевірити захист інфраструктури DeepSeek.
«Такі кібератаки можуть бути прелюдією до більш масштабних загроз або способом виявити слабкі місця в захисті», — зазначає Wiz.
Претензії до DeepSeek через конфіденційність
DeepSeek також опинився під тиском регуляторів і захисників конфіденційності через методи збору й обробки персональних даних.
- Чат-бот DeepSeek вже видалено з Apple App Store в Італії через підозри щодо порушення регіональних норм конфіденційності.
- Очікується, що аналогічні обмеження можуть з’явитися в інших країнах.
- Виникають побоювання щодо можливого витоку даних до китайського уряду.
За даними Bloomberg, сотні компаній уже блокують доступ до DeepSeek через слабкі заходи безпеки та сумнівні політики конфіденційності.
«Більшість даних DeepSeek зберігаються в Китаї, що викликає занепокоєння у корпоративного сектору й урядових організацій», — повідомляє Bloomberg.
Також цього тижня французький чат-бот Lucie припинив роботу через численні помилки.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
