To af det meget omtalte kinesiske AI-selskab DeepSeeks databaser fyldt med følsomme data fra brugerne har stået pivåbne.
Ifølge it-sikkerhedsselsabet Wiz indeholder databaserne mere end million log entries med chat-historikker.
Det hele optræder i plaintext og kan altså ses og læses af alle.
De tilgængelige databaser indeholder også API-nøgler, metadata og forskellige oplysninger om backend-systemer.
Wiz Research har opdaget de åbne databaser i forbindelse med en sikkerheds-gennemgang af DeepSeels eksterne infrastruktur, hedder det.
De to databaser ligger på oauth2callback.deepseek.com:9000 og dev.deepseek.com:9000, og der er fri adgang via et almindeligt webinterface. Ikke engang et password er nødvendigt.
Ifølge Bleepingcomputer indeholderne databaserne et skema med detaljerede data fra 6. januar.
Skemaet indeholder blandt andet bruger-spørgsmål til DeepSeek-chatbotten, adgangskoder fra backend-systemer til at godkende API-kald, oplysninger om inter infrastruktur samt det, der kaldes for ‘operationel metadata.’
“Dette niveau af adgang udgør en alvorlig risiko for DeepSeeks egen it-sikkerhed og for slut-brugerne,” lyder det fra Wiz Research.
Ifølge selskabet kan hackere udnytte oplysningerne i databaserne til både at få fingre i følsomme logs og andre oplysninger samt til via plaintext-data at finde passwords.
It-sikkerhedsselskabet oplyser, at DeepSeek efter henvendelse fra Wiz nu har lukket for adgang til databaserne.
