Открытые двери для хакеров: DeepSeek оставил в сети конфиденциальные данные

Исследователи из Wiz Research обнаружили в сети открытую базу данных ClickHouse, содержащую более миллиона строк конфиденциальной информации пользователей китайского AI-ассистента DeepSeek. В открытом доступе оказались незашифрованные чаты, секретные ключи, логи, а также данные серверов и бэкенда.

«Мы провели разведку публичной инфраструктуры DeepSeek и наткнулись на базу данных, которая не требовала никакой аутентификации. Это позволяло любому пользователю получить доступ к журналам, содержащим реальные чаты, внутренние секреты и системные данные», — сообщили специалисты Wiz Research.

После выявления уязвимости команда Wiz сразу связалась с DeepSeek, и компания оперативно ограничила доступ, удалив базу данных из сети.

Политика конфиденциальности под вопросом

Выяснилось, что база ClickHouse была доступна на серверах oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000. Инцидент ставит под сомнение меры защиты данных, заявленные DeepSeek. Согласно политике конфиденциальности компании, вся информация пользователей хранится на защищенных серверах в Китае. Однако, как выяснили эксперты, личные данные пользователей, включая IP-адреса, логи, данные об устройствах, куки, отчёты о сбоях, а также ритмы нажатия клавиш, остаются на серверах даже после удаления аккаунта.

Компания Wiz Research, специализирующаяся на кибербезопасности с 2020 года, продолжает мониторинг облачных сервисов на предмет уязвимостей. Между тем, ситуация с DeepSeek вновь поднимает вопрос о безопасности персональных данных пользователей AI-сервисов.