Дослідники з Wiz повідомили про виявлення відкритої бази даних китайського стартапу DeepSeek, яка містила чутливу інформацію. Відкритий доступ до бази даних був знайдений за лічені хвилини, без жодної автентифікації. Серед розкритих даних були історії чатів користувачів, ключі автентифікації API та системні журнали.
База даних DeepSeek була розміщена в системі управління даними з відкритим вихідним кодом ClickHouse і містила понад мільйон рядків журналу. Wiz зазначила, що ця ситуація могла призвести до повного контролю над базою даних та потенційного підвищення привілеїв у середовищі DeepSeek. Це могло б дати зловмисникам доступ до внутрішніх систем стартапу.
Після сповіщення Wiz, DeepSeek оперативно забезпечила безпеку бази даних. Немає інформації, чи хтось інший мав доступ до розкритих даних, але дослідники зазначили, що це було б не дивно, враховуючи простоту виявлення бази даних.
Цікаво, що системи DeepSeek мають схожий дизайн з системами OpenAI, аж до формату ключів API. Раніше цього тижня OpenAI звинуватила DeepSeek у використанні своїх даних для тренування своїх ШІ-моделей.
