В Wiz Research обнаружили утечку конфиденциальной информации в базе данных ИИ-стартапа DeepSeek
- База данных от ИИ-сервиса DeepSeek — ClickHouse — столкнулась с утечкой конфиденциальной информации, по данным Wiz Research.
- Она открыта для публичного доступа и не требует аутентификации.
- Объем разоблаченных данных превысил 1 млн потоков логов.
Аналитики платформы Wiz Research обнаружили утечку более 1 млн строк логов из базы данных ClickHouse, которая принадлежит китайскому стартапу на базе искусственного интеллекта (ИИ) DeepSeek.
В результате истории чатов, данные бэкэнда и конфиденциальная информация, включая секреты интерфейса программирования приложений (API), стали общедоступными из-за отсутствия аутентификации и наличия полного контроля над операциями.
Обзор нейросети DeepSeek: что известно о конкуренте ChatGPT на данный момент 28.01.2025 30 мин 2808 читатьClickHouse является системой управления колонковыми базами данных с открытым кодом, предназначенной для быстрого выполнения аналитических запросов на больших объемах данных. Разработанная компанией Yandex, она широко применяется для обработки информации в реальном времени и хранения логов.
Команда Wiz Research сначала оценила публично доступные домены DeepSeek и нашла около 30 поддоменов, которые казались безопасными. Однако, благодаря более глубокому исследованию эксперты смогли обнаружить два необычных открытых порта (8123 и 9000) на хостах DeepSeek.
Дальнейшая инспекция показала, что эти порты предоставляли доступ к публично открытой базе данных ClickHouse без какой-либо аутентификации.
Использование HTTP интерфейса ClickHouse позволило получить доступ к пути /play и выполнять произвольные SQL-запросы непосредственно через браузер. С помощью запроса «SHOW TABLES» отобразился полный список доступных наборов данных.
Среди последних — таблица log_stream,
Читать на incrypted.com
