Wiz Research обнаружила открытую БД DeepSeek с чатами пользователей, секретными ключами и данными серверов

«После простой разведки общедоступной инфраструктуры DeepSeek мы обнаружили общедоступную базу данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации. Это означало, что любой мог получить доступ к журналам, содержащим реальные сообщения чата, внутренние секреты, служебные данные и потенциально извлечь данные вместе с повышением привилегий на сервере. Как только мы обнаружили уязвимость, мы немедленно сообщили об этом команде DeepSeek. Сотрудники компании немедленно ограничили доступ к БД и удалили базу данных из Интернета», — пояснили в Wiz Research.

DeepSeek базируется в Ханчжоу и ясно даёт понять в своей политике конфиденциальности, что личная и системная информация, которую сервис компании собирает у пользователей, хранится «на защищённых серверах, расположенных в Китае». Согласно DeepSeek Privacy Policy и Terms of Use, ИИ‑сервис собирает, хранит и обрабатывает на своих серверах данные пользователей, включая IP‑адреса, user‑agent, шаблоны нажатий клавиш, информацию об устройствах, куки, отчёты о сбоях и журналы производительности, операционную систему, шаблоны или ритмы нажатия клавиш и язык системы. Удаление учётной записи пользователя не стирает как минимум часть этих данных.