Διέρρευσε online βάση δεδομένων της DeepSeek με ευαίσθητες πληροφορίες

H DeepSeek είναι εξαιρετικά δημοφιλής αυτή την περίοδο, αλλά θα πρέπει να είστε προσεκτικοί στο να της παραδώσετε τα προσωπικά σας δεδομένα. Οι ερευνητές της Wiz ανέφεραν την Τετάρτη ότι εντόπισαν μια δημόσια προσβάσιμη βάση δεδομένων που ανήκε στην DeepSeek, η οποία με τη σειρά της επέτρεπε σε οποιονδήποτε να έχει πρόσβαση στα εσωτερικά δεδομένα της. Τα δεδομένα αυτά περιλάμβαναν αρχεία καταγραφής συνομιλιών, μυστικά κλειδιά και άλλες ευαίσθητες πληροφορίες, όπως ισχυρίζεται η Wiz.

Μετά την ανακάλυψή του, η Wiz αποκάλυψε αμέσως το ζήτημα στην DeepSeek, η οποία διόρθωσε το σφάλμα. Ωστόσο, πρόκειται για το είδος του ελαττώματος ασφαλείας που θα πρέπει να μας κάνει να το σκεφτούμε καλά πριν χρησιμοποιήσουμε το AI εργαλείο της DeepSeek για οτιδήποτε απαιτεί να παραδώσουμε έστω και απομακρυσμένα ευαίσθητα δεδομένα.

Οι λεπτομέρειες που περιγράφουν το πρόβλημα βρίσκονται στο blog της Wiz, αλλά συνοψίζεται στο ότι η DeepSeek χρησιμοποιούσε μια βάση δεδομένων ClickHouse, η οποία ήταν προσβάσιμη χωρίς καμία πιστοποίηση ταυτότητας. Όποιος έβρισκε αυτή τη βάση δεδομένων θα μπορούσε να εκτελέσει ένα ερώτημα SQL για να αποκτήσει πρόσβαση σε περισσότερες από 1 εκατομμύριο καταχωρήσεις καταγραφής, με χρονοσφραγίδες, αρχεία καταγραφής συνομιλιών σε απλό κείμενο και άλλα μεταδεδομένα που ένας κακόβουλος χάκερ θα μπορούσε να χρησιμοποιήσει για να αποσπάσει ευαίσθητες πληροφορίες που ανήκουν σε χρήστες της DeepSeek.

Η DeepSeek δεν σχολίασε δημοσίως το ζήτημα και δεν είναι σαφές αν αυτό το ελάττωμα ασφαλείας χρησιμοποιήθηκε καταχρηστικά από κάποιον τρίτο πριν το ανακαλύψει η Wiz.

[via]