Утечка личных данных пользователей DeepSeek: что произошло и какие были последствия
Недавние события вокруг китайской компании DeepSeek, известной своими передовыми моделями искусственного интеллекта, вызвали огромное беспокойство. Внимание акцентируется на утечке данных, которая всколыхнула сообщество экспертов и пользователей. Давайте подробнее разберемся в этой ситуации.
Кто такая DeepSeek?
DeepSeek — это стартап, основанный в 2023 году миллиардером Ляном Вэньфэном и расположенный в Ханчжоу. Компания завоевала популярность благодаря инновационным моделям искусственного интеллекта, таким как DeepSeek-V3 и DeepSeek-R1, которые отличаются высокой производительностью и доступной стоимостью разработки.
Обнаружение утечки
Исследователи из компании Wiz Research, профилирующейся на облачной безопасности, случайно наткнулись на утечку конфиденциальной информации в базе данных DeepSeek во время анализа безопасности. Это стало довольно тревожным сигналом о уязвимостях стартапа.
Что было скомпрометировано?
Утечка затронула множество важных данных, которые были открыты для внешнего доступа. В базе данных находилась:
- История чатов пользователей
- API-ключи
- Технические детали бэкенда
- Логи работы сервиса
- Ссылки на внутренние сервисы DeepSeek
Эта ситуация не только позволяла злоумышленникам просматривать данные, но и давала возможность получить полный контроль над базой данных без какой-либо аутентификации.
Механизм утечки
Выяснилось, что ClickHouse, база данных, используемая DeepSeek, была полностью открыта для внешнего доступа из-за открытых портов (8123 и 9000). Это привело к тому, что к базе данных можно было получить доступ без необходимости ввода пароля. Особое внимание обращается на таблицу log_stream, в которой хранились критически важные данные.
Последствия утечки
Утечка данных стала серьезным риском как для пользователей, так и для самой компании DeepSeek. Злоумышленники имели возможность получить доступ к конфиденциальной информации и сообщениям, извлекая файлы с серверов через стандартные SQL-запросы. Это чревато утечкой внутренних документов, логинов и паролей.
Реакция DeepSeek
После получения уведомления от Wiz Research, компания незамедлительно устранила уязвимость, и база данных была недоступна всего через 30 минут. Однако неясно, успел ли кто-то скачать данные до этого.
Анализ и комментарии экспертов
Эксперты утверждают, что такая утечка — это вопиющая халатность, особенно для компании, работающей с конфиденциальной информацией. CTO Wiz Ами Луттвак отметил, что хотя ошибки бывают, в этом случае утечка была излишне серьезной и легко обнаруживаемой. Несмотря на все усилия, независимый исследователь безопасности Джеремайя Фаулер подчеркнул, что создание ИИ-сервиса без должной защиты является крупной ошибкой и представляет серьезную угрозу как для компании, так и для её пользователей.
Выводы и будущие шаги
Утечка данных в DeepSeek служит напоминанием о важности безопасности в сфере ИИ и облачных сервисов. Компании стоит уделять особое внимание защите конфиденциальной информации, регулярно проводя аудиты безопасности, чтобы избежать подобных инцидентов в будущем.
Заключение
Инцидент с утечкой данных в DeepSeek стал серьезным напоминанием о необходимости повышенной бдительности в области кибербезопасности. Это важно как для пользователей, так и для компаний, чтобы быть осведомленными о потенциальных рисках и принимать активные меры по защите своей информации.
Хотите быть в курсе последних новостей о нейросетях и автоматизации? Подпишитесь на наш Telegram-канал: https://t.me/+5AOJYmT1qeM4ZGYy