主要なセキュリティの失敗では、中国のAIチャットボットDeepSeekは、認証なしでアクセス可能なデータベース内のチャット履歴やその他の機密データを公開しました。
問題を発見したセキュリティ研究者は、露出には100万回以上のログエントリが含まれていると言います。
本日、私たちは、Deepseekがプライバシーと国家安全保障の懸念についてヨーロッパと米国の両方で調査中であることに注目しました。 AppleのApp Storeの頂上にまだあるこのアプリは、国のプライバシーウォッチドッグが懸念を表明した後、イタリアで削除されました。
会社のプライバシーポリシーと慣行によって生じたリスクに加えて、セキュリティ研究者は大きなセキュリティの欠陥を発見しました。 Wiz Research それが見つけたものを説明します。
Wiz Researchは、DeepSeekに属する公開されているClickhouseデータベースを特定しました。これにより、内部データにアクセスする機能など、データベース操作を完全に制御できます。露出には、100万回以上のログストリームが含まれます […]
数分以内に、私たちは見つけました [the database] 完全に開いており、感知されていない、感度の高いデータを公開します [including] かなりの量のチャット履歴、バックエンドデータ、ログストリーム、APIシークレット、運用の詳細を含む機密情報。
問題は、会社が認証なしでClickhouseデータベースを作成したことです。
Clickhouseは、大規模なデータセットで高速な分析クエリ用に設計されたオープンソースの柱状データベース管理システムです。 Yandexによって開発され、リアルタイムのデータ処理、ログストレージ、ビッグデータ分析に広く使用されています。これは、非常に貴重で繊細な発見としての露出を示しています。
機密データが見つかったのは、これらのデータセットの1つであるlog_streamでした。
Wizは通知するセキュリティ連絡先を見つけることができなかったため、結果を開示するために会社が見つけることができるすべてのメールアドレスをスパムする必要がありました。その後、DeepSeekはデータベースを保護しました。
写真by スティーブ・ジョンソン の上 解釈
FTC:収入獲得自動車アフィリエイトリンクを使用しています。 もっと。
