DeepSeek допустил утечку данных более чем на миллиона записей

По информации исследователей, DeepSeek оставил свою базу данных открытой, что создает высокие риски безопасности, отмечают СМИ.
Согласно информации Wiz, DeepSeek быстро завоевывает рынок, конкурируя с американскими аналогами. Однако с увеличением популярности платформы возникли и серьезные проблемы с безопасностью.

Специалисты компании Wiz выяснили, что одна из баз данных DeepSeek была доступна для всех, содержащая свыше миллиона записей, включая системные логи и API-ключи пользователей.

На запрос WIRED о комментарии DeepSeek не ответил. Исследователи Wiz пытались связаться с компанией, отправив письма на все найденные электронные адреса и профили в LinkedIn. Ответа не последовало, но вскоре после рассылки база данных была закрыта. Неизвестно, успел ли кто-то скопировать данные до этого.

«Ошибки в безопасности случаются, но такая утечка была слишком серьезной и легко выявляемой», — заявил Ами Луттвак, CTO Wiz. Он также добавил, что DeepSeek явно не готов к работе с конфиденциальной информацией.

Доступ к базе данных был легкодоступен

Проблема несанкционированного доступа к базам данных — это давняя проблема для облачных сервисов. В случае DeepSeek уязвимость была настолько явной, что ее удалось выявить почти сразу.

«Чаще всего такие утечки трудно заметить, но в данном случае база данных была открыта для всех», — отметил Нир Офельд, глава исследований Wiz.

По словам специалистов, DeepSeek применял базу данных ClickHouse для серверной аналитики, где хранились маршруты пользователей, их запросы и API-ключи. Все данные были на китайском языке, но могли содержать записи и на других языках.

Хотя эксперты Wiz проверили лишь часть информации для сохранения конфиденциальности пользователей, они предполагают, что злоумышленники могли воспользоваться доступом для атак на другие системы DeepSeek.

«Создание ИИ-сервиса и оставление его без защиты — это вопиющая небрежность», — заявил независимый эксперт по безопасности Джеремайя Фаулер. Он добавил, что такая утечка представляет угрозу как для компании, так и для ее пользователей.

DeepSeek: копируя OpenAI, теряет в безопасности

По информации Wiz, DeepSeek во многом копирует OpenAI, включая структуру API-ключей, что может облегчить пользователям переход на китайскую платформу.

Неизвестно, кто еще мог обнаружить утечку до Wiz, но эксперты уверены, что база была столь доступна, что ее могли найти как исследователи, так и злоумышленники.

DeepSeek под давлением властей и военных

На прошлой неделе DeepSeek стал одним из самых скачиваемых приложений на платформах App Store и Google Play, однако его стремительный рост вызвал беспокойство как у конкурентов, так и у властей.

Согласно данным Financial Times, OpenAI проверяет, использовал ли DeepSeek данные ChatGPT для обучения своих моделей. Тем временем регуляторы в различных странах начали исследовать политику конфиденциальности китайской компании.

Итальянское агентство по защите данных направило запрос DeepSeek относительно происхождения обучающих данных и возможного использования личной информации, после чего приложение стало недоступным в Италии, как сообщается в WIRED Italy.

В США DeepSeek вызвал опасения среди военных. CNBC сообщает, что ВМС США запретили своим сотрудникам скачивать и использовать сервис из-за «потенциальных рисков безопасности и этических вопросов».

Несмотря на скандал вокруг DeepSeek, этот случай поднимает более широкую проблему. Большинство ИИ-сервисов функционируют на облачных платформах, и ошибки в их настройках могут привести к утечкам данных.