Дослідники Wiz Research виявили витік бази даних DeepSeek, що містить історію чатів, приватні ключі, деталі бекенда та іншу конфіденційну інформацію. Про це повідомляють у блозі компанії.
Після галасу навколо китайського стартапу експерти Wiz Research провели аналіз його безпеки на предмет можливих вразливостей. Уже через кілька хвилин аналітики виявили відкриту базу даних ClickHouse, пов’язану з DeepSeek. Вона не вимагала аутентифікації, що надавало доступ до конфіденційної інформації.
Уразливість давала змогу повністю контролювати базу даних і підвищувати привілеї в середовищі DeepSeek без механізму захисту.
Прогалини в захисті вдалося виявити шляхом пошуку та аналізу піддоменів. Спочатку Wiz Research виявили близько 30, що виходять в інтернет. Більшість із них не становили підвищеного ризику. Розширивши пошук за межі стандартних HTTP-портів (80/443), вдалося виявити два незвичайних відкритих шлюзи (8123 і 9000). Вони вели до відкритої бази даних ClickHouse.
ClickHouse — це колонкова система управління базами даних. Вона була розроблена компанією Яндекс у 2016 році й тепер є проєктом з відкритим вихідним кодом.
Команда Wiz Research повідомила про проблему DeepSeek, стартап оперативно усунув її.