Kritično sigurnosno otkriće: DeepSeekova baza podataka bila potpuno izložena javnosti bez zaštite
Istraživači tvrtke Wiz Research, specijalizirane za cloud sigurnost, jučer su otkrili ozbiljne sigurnosne propuste u infrastrukturi tvrtke DeepSeek, što je izložilo osjetljive podatke i potencijalno ugrozilo privatnost korisnika
Otkriće Wiz Researcha od 29. siječnja 2025. pokazalo je da su DeepSeekovi podaci bili javno dostupni kroz ClickHouse bazu podataka, čime je bilo moguće preuzeti potpunu kontrolu nad operacijama baze bez ikakve autentifikacije.
Otvoreni portovi
Izložena baza podataka bila je smještena na dvije lokacije - oauth2callback.deepseek.com:9000 i dev.deepseek.com:9000. Lokacije su identificirane kroz neuobičajene otvorene portove 8123 i 9000 povezane s tim poslužiteljima.
Baza podataka sadržavala je više od milijun redaka zapisa s vrlo osjetljivim informacijama koje su uključivale povijest razgovora, API tajne ključeve, pozadinske detalje sustava, operativne metapodatke, tekstualne zapise, strukturu direktorija te metapodatke chatbot sustava.
Ovakva izloženost omogućila je pristup osjetljivim zapisima i porukama u običnom tekstu, potencijalno preuzimanje lozinki i lokalnih datoteka u čitljivom obliku te izravan pristup vlasničkim informacijama s poslužitelja. Istraživači iz Wiza koristili su jednostavne tehnike i u procesu su identificirali oko 30 poddomena dostupnih s interneta, otkrili neuobičajene otvorene portove, pristupili ClickHouse bazi podataka te izvršili jednostavan upit "SHOW TABLES" kako bi otkrili dostupne skupove podataka.
Analiza je pokazala da je tablica log_stream sadržavala više od milijun zapisa s važnim informacijama. Među njima su bili vremenski zapisi koji datiraju od 6. siječnja 2025., reference na različite interne DeepSeek API krajnje točke, tekstualni zapisi koji uključuju povijest razgovora, API ključeve i operativne metapodatke. Dodatno su pronađene oznake koje pokazuju koja DeepSeek usluga je generirala zapise, kao i izvori zahtjeva za zapisima.
Nakon otkrića, tim Wiz Researcha odmah je odgovorno prijavio problem DeepSeeku, na što se tvrtka nije oglasila, ali je brzo reagirala kako bi osigurala izložene podatke.
