דליפת נתונים מאסיבית מ- AI Startup Deepseek העלתה אזעקות לגבי אבטחת נתוני משתמשים רגישים בענף ה- AI המתפתח במהירות.
חוקרי אבטחת סייבר ב- Wizלאחרונה נמצאהפסקת ביטחון משמעותית ב- Deepseek, סטארט -אפ סיני של AI. החברה, הידועה במודל ה- DeepSeek-R1 AI שלה, הותירה מסד נתונים של Clickhouse-פיקוח עם השלכות חמורות.
למעלה ממיליון ערכי יומן, המכילים היסטוריית צ'אט, מפתחות סודיים ופרטי Backend, הושארו ללא הגנה במסד הנתונים החשוף. גרוע מכך, בסיס הנתונים איפשר שליטה מנהלית מלאה ללא אימות, מה שהפך אותו למכרה זהב לתוקפים פוטנציאליים.
הנתונים שנחשפו כללו סודות API, יומנים פנימיים ואפילו הודעות צ'אט טקסט -טקסט, מהווה סיכון קשה הן ל- DeepSeek והן למשתמשים שלה. חוקרי Wiz חשפו באחריות את הנושא ל- DeepSeek, שהבטיח מייד את בסיס הנתונים.
כיצד התגלתה ההפרה
צוות המחקר של Wiz זיהה את הנושא תוך ניתוח תנוחת האבטחה החיצונית של Deepseek. בתחילה הם מיפו את התחומים הפונים לאינטרנט של Deepseek ומצאו כמה תת-דומיינים, והכי נראים לא מזיקים.
עם זאת, ניתוח עמוק יותר חשף שתי יציאות פתוחות חריגות - 8123 ו- 9000 - המקושרות למופעי מסד נתונים לחשוף פומבי. מקרים אלה לא היו מוגנים לחלוטין, מה שמאפשר לכל אחד לגשת ולתפעל נתונים ללא אימות.
באמצעות שאילתות SQL בסיסיות דרך ממשק האינטרנט המובנה של Clickhouse, חוקרי Wiz מצאו טבלה בשם "Log_Stream", שהכילה יומנים נרחבים עם מידע רגיש. היומנים כללו חותמות זמן, הפניות לנקודות קצה של API של DeepSeek, והודעות צ'אט פנט -טקסט וכן מטא נתונים תפעוליים.
הדליפה כללה הודעות צ'אט. קרדיט תמונה: מחקר Wiz
גישה בלתי מוגבלת כזו יכולה הייתה לאפשר לתוקפים לחלץ סיסמאות, קבצים מקומיים ונתונים קנייניים.
בעוד שהחשיפה טופחה במהירות, היא מעלה חששות גדולים יותר מהתשתית של Deepseek והסיכונים הקשורים לצמיחה המהירה שלה.
דליפת הנתונים של Deepseek מגיעה ברגע מרכזי עבור החברה. למרות הפסקת האבטחה שלו, סטארט -אפ של AI ראהעלייה דרמטית, בראש ארה"בחנות אפליקציותורבים אחרים ברחבי העולם.
ההצלחה המהירה של החברה נובעת מהיכולת שלה לספק תגובות AI באיכות גבוהה בשבריר מהעלות של המתחרים המערביים כמו Chatgpt של Openai. עם זאת, נראה כי עצם התשתית שאפשרה צמיחה זו-המודל הקל משקל, חסכוני-תרמה גם לפגיעויות האבטחה שלה.
בהתחשב בהיסטוריה של ממשלת ארה"ב להגבלת חברות טק סיניות כמו Huaweiוטלטוק, DeepSeek עשוי להתמודד עם מכשולים רגולטוריים אם החששות מפני אבטחת המידע נמשכים.
