Исследователи Wiz Research заявили, что была обнаружена уязвимость в базе данных проекта DeepSeek, которая могла привести к утечке истории чатов, приватных ключей и другой конфиденциальной информации.
Стремительная популярность китайского стартапа DeepSeek вынудило экспертов Wiz Research провести анализ его безопасности на предмет возможных уязвимостей. Через пару минут анализа они обнаружили открытую базу данных ClickHouse, которая связана с проектом. Она не требовала аутентификации, что предоставляло доступ к конфиденциальной информации. Данная уязвимость позволяла полностью контролировать базу данных и повышать привилегии в среде DeepSeek без защиты.
По словам аналитиков, уязвимость удалось выявить путем поиска и анализа поддоменов. Сначала Wiz было обнаружено около 30, выходящих в интернет. Большинство из них не представляли повышенного риска. Однако расширенный поиск за пределы стандартных HTTP-портов (80/443), позволил обнаружить два необычных открытых шлюза (8123 и 9000), которые вели к открытой базе данных ClickHouse.
Стоит отметить, что об уязвимости эксперты сразу сообщили DeepSeek, команда оперативно ее устранила.