Tehnologija

Deepseek API, chat Izloženost ekranu ‘Rookie’ Cyber ​​Greška

anketa.plus
Izvor: anketa.plus
Deepseek API, chat Izloženost ekranu ‘Rookie’ Cyber ​​Greška

Sigurnosni istraživači na WIZ-u pronalaze trovnicu Deepseek podataka, uključujući API tajne i zapisnike za chat Javno izloženo putem alata za upravljanje bazom podataka otvorenog koda, postavljajući pitanja o pristupu brzo rastućim pristupom sigurnosti

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 31. januara 2025. 16:56

Dani nakon značajnog cyber napada nepoznatog izdvajanja uzrokovao je značajan poremećaj za korisnike modela kineske generativne umjetne inteligencije (GENAI), trajno-sigurnosna pitanja, a izvještaji se pojavljuju temeljni nedostatak pažnje posvećenih osnovnim mjerama Cyber ​​sigurnosti u samom gradu Deeberseek.

Ovo je prema istraživaču Gal Nagli of Wiz, stručnjaka za sigurnost u oblaku, koji je u srijedu 29. januara objavio detalje javno dostupne dubokog bazi podataka koja sadrži prozori podataka, koji je rekao da je omogućio potpunu kontrolu nad operacijama baze podataka.

Nagli je rekao da je motiviran za procjenu Deepseekova vanjskog cyber sigurnosnog osiguranja i identificirati moguće ranjivosti u svjetlu meteorskog rasta platforme na globalno istaknutost.

“U roku od nekoliko minuta, pronašli smo javno dostupnu bazu podataka Clickhouse koja se povezana sa Deepseekom, potpuno otvorenim i neovlaštenim, izlaganjem osjetljivim podacima. Bio je domaćin na Oauth2callback.deepseek.com:9000 i dev.deepseek.com:9000 “, rekao je Nagli.

“Ova baza podataka sadržavala je značajan obim povijesti chata, pozadinskih podataka i osjetljivih podataka, uključujući tokove dnevnika, API tajne i operativne detalje.

“Kritičnije, izloženost je dozvoljena za potpunu kontrolu baze podataka i potencijalne privilegije eskalacije u okviru Deepseek okruženja, bez ikakvih autentičnosti ili obrambenog mehanizma prema vanjskom svijetu”, dodao je.

Nagli je pronašao izloženu bazu podataka kroz standardno mapiranje u Duyeekovim javno dostupnim domenama. Našao je oko 30 poddomena koje su se okrenuli internetom, od kojih je većina bila benigna, ali na proširivanju njegove pretrage izvan standardnih HTTP portova 80 i 443, pronašao je dva otvorena portova, 8123 i 9000, povezane sa ranjivim domaćinima.

Pogodava HTTP interfejs Clickhouse, on je tada mogao pristupiti određenoj stazi koji je omogućio direktno izvršenje proizvoljnih SQL upita u web pretraživaču; Trčanje ‘Prikaži tabele’ upit vratio je popis izloženih skupova podataka.

“Ova razina pristupa predstavljala je kritički rizik za Feetseekovu vlastitu sigurnost i za svoje krajnje korisnike. Ne samo da napadač može preuzeti osjetljive trupce i stvarne obične tekstualne čavrljajuće poruke, ali bi mogle potencijalno exfiltratirati obične tekstualne lozinke i lokalne datoteke zajedno s podacima o osobinskoj strani direktno sa servera …, ovisno o njihovoj konfil-konfiguraciji “, rekao je Nagli.

Nagli je informirao Deepseek izloženog Clickhouse usluge putem odgovornih kanala za otkrivanje, a kompjuter sedmično razumije da su sada zaključani.

Clickhouse je alat za upravljanje bazom podataka otvorenog koda koji se koristi za obradu, skladište i analitiku dnevnika – koji je u početku razvijen u Yandexu u Rusiji, iako se sada nalazi u silikonskoj dolini.

William Wright, izvršni direktor zatvorenih vrata, savjetovanje na bazi Scotlandova Western Isles, rekao je da su problemi u vezi s obzirom na davanje Deepseeka davanje nekih najposerenih svjetskih lidera AI-a.

“Sigurnost mora biti prioritet, ali ostavljajući bazu podataka poput ove izložene greške u rookie”, rekao je. “U poslednjoj sedmici Deepseek je guran u javno oko, ali kompanija jasno sada učenje da nije sav publost dobra publicita.

“Imati obične tekstualne razgovore u javnoj bazi podataka moglo bi pružiti kriminalcima pristup povjerljivim informacijama koje se odnose na preduzeća i pojedince. Zločinci su također mogli iskoristiti daljnje naredbe za krađu više informacija od korisnika, što bi ih stalolo na još veći rizik.

“To je ujedno i jedan od ključnih razloga zbog kojih organizacije moraju pokrenuti proaktivne procjene u svojim mrežama, tako da se slabosti mogu identificirati i ublažiti prije nego što su izloženi istraživačima ili akteri prijetnje”, rekao je Gright.

Pročitajte više o zaštiti privatnosti i podataka

  • Kako CISOS mogu suzbiti prijetnju državnom špijunažom nacije
  • Deepseek intenzivira utrka SAD-China za Ai nadmoć

    Napisao: Makenzie Holland

  • Preispitivanje AI-jevo mjesto u softverskom snopu

    Napisao: Brian McKenna

  • Elon Musk kapitalizira se na zbrku Deepseek za ponudu za Openai

    Napisao: Cliff Saran