Американская компания Wiz, специализирующаяся на кибербезопасности, обнаружила в открытой базе данных утечку конфиденциальных сведений, связанных с пользователями чат-бота китайской компании DeepSeek. В общей сложности компрометации подверглись более миллиона записей, включая историю переписки пользователей и секретные ключи. После оперативного уведомления DeepSeek о проблеме уязвимость была устранена.
Команда исследователей Wiz заинтересовалась безопасностью DeepSeek из-за растущего внимания к компании в сфере ИИ и решила проверить ее систему на возможные уязвимости. В ходе анализа было выявлено, что незащищенный доступ к базе данных позволял полностью контролировать ее содержимое, а также повышать привилегии внутри инфраструктуры DeepSeek без необходимости аутентификации.
Злоумышленники, воспользовавшись этой уязвимостью, могли не только просматривать конфиденциальные логи и незашифрованные сообщения, но и извлекать пароли в открытом виде, загружать локальные файлы и получать доступ к внутренней информации компании напрямую с серверов.