Исследователи Wiz Research обнаружили утечку базы данных DeepSeek, содержащей историю чатов, приватные ключи, детали бэкэнда и другую конфиденциальную информацию. Об этом сообщается в блоге компании.
После шумихи вокруг китайского стартапа эксперты Wiz Research провели анализ его безопасности на предмет возможных уязвимостей. Уже через несколько минут аналитики обнаружили открытую базу данных ClickHouse, связанную с DeepSeek. Она не требовала аутентификации, что предоставляло доступ к конфиденциальной информации.
Уязвимость позволяла полностью контролировать базу данных и повышать привилегии в среде DeepSeek без механизма защиты.
Пробелы в защите удалось выявить путем поиска и анализа поддоменов. Сначала Wiz Research обнаружили около 30, выходящих в интернет. Большинство из них не представляли повышенного риска. Расширив поиск за пределы стандартных HTTP-портов (80/443), удалось обнаружить два необычных открытых шлюза (8123 и 9000). Они вели к открытой базе данных ClickHouse.
ClickHouse — это колоночная система управления базами данных. Она была разработана компанией Яндекс в 2016 году и теперь является проектом с открытым исходным кодом.
Команда Wiz Research сообщила о проблеме DeepSeek, стартап оперативно устранил ее.
