محتوای تاپیک هر 5 ثانیه به طور خودکار بهروز میشود.
به دلیل عدم فعالیت شما در دقایق گذشته، بهروزرسانی خودکار این تاپیک متوقف شده است. Un-Idle
-
بازنگری
-
January 31st, 2025 09:38
#1
افشای اطلاعات بیش از یک میلیون چت در پایگاه داده DeepSeek
به گزارش ترفندستان به نقل از BleepingComputer
.
استارتاپ چینی DeepSeek، که بهخاطر مدل زبانی DeepSeek-R1 شناخته میشود، دو پایگاه داده حاوی اطلاعات حساس کاربران را بدون محافظت در معرض عموم قرار داده است. این پایگاههای داده شامل بیش از یک میلیون رکورد چت کاربران، کلیدهای API، جزئیات بکاند و متادیتای عملیاتی بودند. این آسیبپذیری توسط تیم امنیتی Wiz Research کشف شد که دریافت سرورهای ClickHouse این شرکت در آدرسهای oauth2callback.deepseek.com:9000 و dev.deepseek.com:9000 بدون نیاز به احراز هویت قابل دسترسی بودهاند.
پایگاه داده حاوی جدولی به نام log_stream بود که شامل:
- تاریخچه چتهای کاربران
- کلیدهای تأیید هویت برای تماسهای API
- اطلاعات زیرساخت داخلی و سرویسهای بکاند
- متادیتای عملیاتی مختلف
تیم Wiz هشدار داد که این سطح از دسترسی میتوانست امنیت DeepSeek و کاربران آن را در معرض خطر جدی قرار دهد. مهاجمین میتوانستند با دستورات SQL، اطلاعات حساس، رمزهای عبور و حتی فایلهای لوکال سرور را استخراج کنند. با این حال، محققان Wiz تنها به بررسی سطحی اکتفا کردند و از انجام تستهای مخرب خودداری نمودند.
مشخص نیست که آیا این افشاگری اولین بار توسط Wiz کشف شده یا افراد مخرب قبلاً از آن سوءاستفاده کردهاند. در هر صورت، پس از اطلاعرسانی، DeepSeek بهسرعت این مشکل را برطرف کرد و پایگاههای داده دیگر در دسترس عموم نیستند.
چالشهای امنیتی DeepSeek
علاوه بر این رخنه، نگرانیهای بیشتری درباره امنیت DeepSeek وجود دارد. ازآنجاکه این شرکت در چین فعالیت میکند، باید مطابق با قوانین سختگیرانه دولتی، دادههای کاربران را در اختیار دولت قرار دهد. این مسئله، امنیت اطلاعات کاربران را بیشازپیش تهدید میکند. علاوه بر این، دسترسی آزادانه به کلیدهای API و اطلاعات بکاند میتوانست زمینهساز حملات گستردهتر شود.
هفته گذشته، پلتفرم DeepSeek هدف حملات سایبری مداوم قرار گرفت و بهدلیل ناتوانی در دفع این حملات، برای تقریباً ۲۴ ساعت ثبتنام کاربران جدید را متوقف کرد.