Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Компания по кибербезопасности Wiz раскрывает секретную базу данных DeepSeek

Рубрики: «Искусственный интеллект (AI)», «Кибербезопасность»

После того, как стартап DeepSeek привлек к себе всеобщее внимание, компания Wiz сосредоточилась на безопасности и «в течение нескольких минут» обнаружила общедоступную базу данных, «полностью открытую и не требующую проверки подлинности, содержащую конфиденциальную информацию». База данных содержала миллионы строк истории чатов, запросы пользователей, внутренние данные, секреты интерфейса прикладного программирования и другие конфиденциальные рабочие данные.

«Что еще более важно, уязвимость позволила получить полный контроль над базой данных и потенциальное повышение привилегий в среде DeepSeek без какой-либо аутентификации или механизма защиты от внешнего мира», — написал в своем блоге Гал Нагли, исследователь облачной безопасности в Wiz.

Это был серьезный риск для DeepSeek. Уровень доступа предоставил бы злоумышленникам практически карт-бланш на важную информацию о внутренних системах и конечных пользователях.

«Злоумышленник может не только получить доступ к конфиденциальным журналам и текстовым сообщениям чата, но и потенциально похитить пароли в виде открытого текста и локальные файлы вместе с конфиденциальной информацией непосредственно с сервера», — добавил Нагли.

По словам Wiz, DeepSeek быстро устранил неполадку после того, как стартап узнал о ней. Это открытие произошло в то время, когда популярность моделей ИИ DeepSeek вызвала ажиотаж среди инвесторов и разработчиков ИИ из-за их заявленных возможностей. Выпуск модели R1 вызвал в понедельник широкую распродажу акций ИИ, уронив акции Nvidia на 17%.

Внезапная популярность чат-бота DeepSeek также сделала компанию мишенью злоумышленников, которые в тот же день временно отключили возможность регистрации пользователей. Несмотря на то, что атака могла быть вызвана увеличением числа регистраций, чтобы перегрузить и без того загруженные системы, подобные типы кибератак также могут быть прикрытием для атак, направленных на выявление брешей в защите инфраструктуры.

DeepSeek также подвергся критике со стороны защитников конфиденциальности и регуляторов за то, как компания собирает и использует персональные данные. Её приложение чат-бота впоследствии было удалено из App Store в Италии и, вероятно, та же участь его ждет в других странах. Итальянский регулятор конфиденциальности усомнился в том, что приложение соответствовало региональным нормам.

Опасения по поводу утечки данных в китайское правительство также заставили «сотни» компаний, особенно связанных с правительствами, заблокировать доступ к DeepSeek. Среди этих опасений были слабые гарантии конфиденциальности, связанные с тем, что стартап хранит большую часть своих данных в Китае.

Источник: