Wiz Research обнаружила открытую БД DeepSeek с чатами пользователей, секретными ключами и данными серверов

Исследователи из Wiz Research обнаружили ^[1] в сети открытую базу данных (общедоступную базу данных ClickHouse) с миллионом строк конфиденциальной информации китайского помощника искусственного интеллекта ^[2] DeepSeek. Внутри БД ^[3] незашифрованные чаты пользователей, секретные ключи, логи, бэкенд и серверные данные. Всё это хранилось без необходимой защиты.

«После простой разведки общедоступной инфраструктуры DeepSeek мы обнаружили общедоступную базу данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации. Это означало, что любой мог получить доступ к журналам, содержащим реальные сообщения чата, внутренние секреты, служебные данные и потенциально извлечь данные вместе с повышением привилегий на сервере. Как только мы обнаружили уязвимость, мы немедленно сообщили об этом команде DeepSeek. Сотрудники компании немедленно ограничили доступ к БД и удалили базу данных из Интернета», — пояснили ^[3] в Wiz Research.

DeepSeek базируется в Ханчжоу и ясно даёт понять в своей политике конфиденциальности, что личная и системная информация, которую сервис компании собирает у пользователей, хранится «на защищённых серверах, расположенных в Китае». Согласно DeepSeek Privacy Policy ^[4] и Terms of Use ^[5], ИИ‑сервис собирает ^[6], хранит и обрабатывает на своих серверах данные пользователей, включая IP‑адреса, user‑agent, шаблоны нажатий клавиш, информацию об устройствах, куки, отчёты о сбоях и журналы производительности, операционную систему, шаблоны или ритмы нажатия клавиш и язык системы. Удаление учётной записи пользователя не стирает как минимум часть этих данных.