Компания Wiz Research, специализирующаяся на облачной безопасности, обнаружила общедоступную базу данных DeepSeek, содержащую конфиденциальную информацию, включая историю чатов, API-ключи и другие секретные данные. По данным Wiz, злоумышленники могли получить полный контроль над базой, выполнять код и манипулировать данными. После уведомления DeepSeek китайская компания немедленно закрыла доступ к базе.
Wiz Research обнаружила базу данных ClickHouse на одном из общедоступных доменов DeepSeek. Доступ к базе данных не требовал аутентификации. База содержала как обычную, так и конфиденциальную информацию, предназначенную только для операторов AI-модели, а не для пользователей.
Специалисты Wiz выполняли SQL-запросы к базе данных. Один из запросов выявил подбазу, содержащую более миллиона записей пользовательских взаимодействий с DeepSeek, включая историю чатов, идентификационные ключи и другие данные. По словам Wiz, эта информация могла позволить злоумышленникам извлекать пароли в открытом виде, локальные файлы и другую конфиденциальную информацию.
Этот инцидент вызывает опасения по поводу конфиденциальности данных в AI-чатах, особенно на фоне растущей популярности DeepSeek. ВМС США уже запретили своим сотрудникам использовать платформу из-за опасений, связанных с конфиденциальностью и происхождением приложения.
В политике конфиденциальности DeepSeek указано, что компания хранит собранную информацию на серверах в Китае и может собирать текстовые и аудиоданные, запросы, загруженные файлы, обратную связь, историю чатов и другой контент, предоставляемый пользователями. Китайское законодательство, обязывающее компании передавать данные правительству, усиливает опасения по поводу потенциального злоупотребления информацией.
Подобные опасения привели к принятию закона PAFACA в США, требующего от TikTok отделиться от китайской ByteDance.
