Исследователи заявили, что нашли в отрытом доступе незащищенную БД DeepSeek - «Новости» » Интернет технологии
sitename
Учёт рабочего времени
Учёт рабочего времени
 NASA: ракета SLS готова для исторической доставки астронавтов к Луне в следующем году - «Новости сети»
NASA: ракета SLS готова для исторической доставки астронавтов к Луне в следующем году - «Новости сети»
 Пользователей Windows 11 втихую лишили возможности навсегда отключать автообновления приложений из Microsoft Store - «Новости сети»
Пользователей Windows 11 втихую лишили возможности навсегда отключать автообновления приложений из Microsoft Store - «Новости сети»
 Игроки Victoria 3 за год довели до голодной смерти 860 квадриллионов человек — это больше населения Земли в 106 миллионов раз - «Новости сети»
Игроки Victoria 3 за год довели до голодной смерти 860 квадриллионов человек — это больше населения Земли в 106 миллионов раз - «Новости сети»
 OpenAI представила ИИ-браузер ChatGPT Atlas — альтернатива Google Chrome с «памятью» и агентами - «Новости сети»
OpenAI представила ИИ-браузер ChatGPT Atlas — альтернатива Google Chrome с «памятью» и агентами - «Новости сети»
 Многострадальная Vampire: The Masquerade — Bloodlines 2 добралась до релиза спустя 20 лет после выхода культовой первой части - «Новости сети»
Многострадальная Vampire: The Masquerade — Bloodlines 2 добралась до релиза спустя 20 лет после выхода культовой первой части - «Новости сети»
 Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
 На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
 Подрядчик Discord отрицает компрометацию своих систем - «Новости»
Подрядчик Discord отрицает компрометацию своих систем - «Новости»
 Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Исследователи заявили, что нашли в отрытом доступе незащищенную БД DeepSeek - «Новости»

✔Исследователи заявили, что нашли в отрытом доступе незащищенную БД DeepSeek - «Новости»

31 января 2025 868 Новости / Изображения / Преимущества стилей / Заработок / Ссылки / Таблицы / Видео уроки / Блог для вебмастеров / Отступы и поля 0

Вскоре после запуска нашумевшей модели DeepSeek R1 специалисты Wiz решили изучить безопасность стоящей за ней компании. Исследователи утверждают, что DeepSeek плохо защитила инфраструктуру своих сервисов, и в результате разговоры с чат-ботом DeepSeek, а также другие данные оказались в открытом доступе.


«За несколько минут мы обнаружили общедоступную базу данных ClickHouse, связанную с DeepSeek, полностью открытую и неаутентифицированную, раскрывающую конфиденциальные данные. Она размещалась по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000, — заявляют исследователи. — База содержала значительный объем историй чатов, данные бэкэнда и конфиденциальную информацию, включая логи, секреты API и оперативные данные».




Хуже того, по словам исследователей, потенциальный злоумышленник мог полностью контролировать БД и повышать привилегии в среде DeepSeek, без какой-либо аутентификации. Так, используя HTTP-интерфейс ClickHouse, исследователи смогли обратиться к эндпоинту /play и выполнять произвольные SQL-запросы из браузера. С помощью show tables они получили список доступных датасетов.





Одна из таблиц, log_stream, якобы содержала всевозможные конфиденциальные данные, и в целом журнал насчитывал более миллиона записей, включая: временные метки, ссылки на эндпоинты API, истории чатов пользователей открытым текстом, ключи API, детали бэкэнда, операционные метаданные и так далее.


Исследователи полагают, что в зависимости от конфигурации DeepSeek ClickHouse злоумышленник мог бы извлечь пароли в открытом виде, локальные файлы и служебные данные, просто выполняя соответствующие SQL-команды.





«Быстрое внедрение ИИ-сервисов без соответствующей безопасности сопряжено с риском, — говорят представители  Wiz. — Тогда как значительная часть внимания вокруг безопасности ИИ сосредоточена на футуристических угрозах, реальная опасность часто связана с базовыми рисками, такими как случайное раскрытие БД. Защита данных клиентов должна оставаться главным приоритетом для команд безопасности, и очень важно, чтобы они тесно сотрудничали с ИИ-инженерами для защиты данных и предотвращения их раскрытия».


Исследователи отметили, что после получения информации о проблеме DeepSeek оперативно устранила брешь.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Вскоре после запуска нашумевшей модели DeepSeek R1 специалисты Wiz решили изучить безопасность стоящей за ней компании. Исследователи утверждают, что DeepSeek плохо защитила инфраструктуру своих сервисов, и в результате разговоры с чат-ботом DeepSeek, а также другие данные оказались в открытом доступе. «За несколько минут мы обнаружили общедоступную базу данных ClickHouse, связанную с DeepSeek, полностью открытую и неаутентифицированную, раскрывающую конфиденциальные данные. Она размещалась по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000, — заявляют исследователи. — База содержала значительный объем историй чатов, данные бэкэнда и конфиденциальную информацию, включая логи, секреты API и оперативные данные». Хуже того, по словам исследователей, потенциальный злоумышленник мог полностью контролировать БД и повышать привилегии в среде DeepSeek, без какой-либо аутентификации. Так, используя HTTP-интерфейс ClickHouse, исследователи смогли обратиться к эндпоинту /play и выполнять произвольные SQL-запросы из браузера. С помощью show tables они получили список доступных датасетов. Одна из таблиц, log_stream, якобы содержала всевозможные конфиденциальные данные, и в целом журнал насчитывал более миллиона записей, включая: временные метки, ссылки на эндпоинты API, истории чатов пользователей открытым текстом, ключи API, детали бэкэнда, операционные метаданные и так далее. Исследователи полагают, что в зависимости от конфигурации DeepSeek ClickHouse злоумышленник мог бы извлечь пароли в открытом виде, локальные файлы и служебные данные, просто выполняя соответствующие SQL-команды. «Быстрое внедрение ИИ-сервисов без соответствующей безопасности сопряжено с риском, — говорят представители Wiz. — Тогда как значительная часть внимания вокруг безопасности ИИ сосредоточена на футуристических угрозах, реальная опасность часто связана с базовыми рисками, такими как случайное раскрытие БД. Защита данных клиентов должна оставаться главным приоритетом для команд безопасности, и очень важно, чтобы они тесно сотрудничали с ИИ-инженерами для защиты данных и предотвращения их раскрытия». Исследователи отметили, что после получения информации о проблеме DeepSeek оперативно устранила брешь.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: