Főoldal Másvilág DeepSeek adatvédelmi rés – kritikus adatbázis került veszélybe, több mint egymillió rekord szivároghatott ki
Másvilág

DeepSeek adatvédelmi rés – kritikus adatbázis került veszélybe, több mint egymillió rekord szivároghatott ki

A DeepSeek-archívumból akár chatelőzmények és jelszavak is kiszivároghattak.

124
DeepSeek

Az ígéretes mesterséges intelligenciával foglalkozó startup, a DeepSeek nemrég rendesen felforgatta az amerikai techpiacot, ám a vállalatnak most a saját biztonsági hiányosságaival kell megküzdenie. A Wiz biztonsági szakértői egy, szabadon hozzáférhető ClickHouse-adatbázisra bukkantak a cég rendszerében, amely – ha rossz kezekbe kerül – rengeteg kritikus információt szolgáltathatott volna ki. A DeepSeek azóta megszüntette a sebezhetőséget, de a történet jól mutatja, milyen könnyen komoly kockázatot jelenthet egy egyszerű konfigurációs hiba.

Röviden:

- Két nyitott kapun keresztül a támadó korlátlan hozzáférést szerezhetett volna a ClickHouse-adatbázishoz.
- Tartalmazhatott jelszavakat, chatelőzményeket, API-kulcsokat és egyéb bizalmas részleteket.
- A Wiz értesítése után a DeepSeek rögtön lezárta a rést és megerősítette a biztonságot.

A jelentések szerint a Wiz szakértői egyszerű portvizsgálattal bukkantak rá a DeepSeek ClickHouse-adatbázisára, amely mindenféle hitelesítés nélkül elérhető volt. A vállalatról eddig leginkább a mesterséges intelligencia fejlesztései kapcsán hallhattunk: az R1 modelljük gyorsan közkedveltté vált az amerikai piacon is, a letöltési listák élére ugrott. A mostani esemény viszont azt mutatja, hogy a technológiai újítás és a biztonság kéz a kézben kellene járjon.

A Wiz csapata arra is figyelmeztet, hogy az elérhető adatbázis lehetővé tehette bármilyen parancs futtatását. Ez gyakorlatilag kulcsot ad a támadóknak, hogy hozzáférjenek különféle chatelőzményekhez, egyes API-kulcsokhoz, valamint rendszerlogokhoz. Az effajta rések különösen veszélyesek az MI-szolgáltatókra nézve, hiszen közvetlenül a modell működéséhez szükséges kulcselemeket fedhetnek fel. Néhány hónapja a ChatGPT került a szakértők célkeresztjébe, amikor kiderült, hogy az OpenAI egyszerű szöveges fájlban tárolja az előzményeket.

A DeepSeek gyorsan reagált a hibajelzésre, és befoltozta a sebezhetőséget, mielőtt komolyabb kárt okozhatott volna. A Wiz szakértői azonban hangsúlyozták, hogy a vállalatoknak nagyobb hangsúlyt és odafigyelést kell fordítaniuk a mesterséges intelligencia megoldásaikra. A felhasználói információk védelme az elsődleges, és sohasem lenne szabad, hogy az innováció javára ez háttérbe szoruljon.

Szerző
Kévés Bence Mihály

Imádok elveszni a filmek és sorozatok világában, ahol minden jelenet egy új kaland, és minden karakter egy új barát. Nálam mindig forog a “lejátszás” gomb.

Szólj hozzá!

Közelgő események

Még több a témában...