Wiz обнаружил конфиденциальные данные DeepSeek в открытом доступе

Wiz обнаружил конфиденциальные данные DeepSeek в открытом доступе

Wiz обнаружил конфиденциальные данные DeepSeek в открытом доступе

Эксперты американской компании Wiz Research обнаружили в открытом доступе массив данных ClickHouse объемом в миллион строк, содержащий конфиденциальную информацию. После уведомления исследователей компания DeepSeek оперативно устранила проблему.

Специалисты Wiz Research по собственной инициативе решили проверить уровень защищенности ИТ-инфраструктуры DeepSeek. Как отметил Гал Нагли, один из участников пентеста, проблемная база данных была обнаружена всего за несколько минут.

Содержавшиеся в ней сведения оказались конфиденциальными.

«Эта БД включала значительный объем истории чатов, внутренние данные и конфиденциальную информацию, в том числе журналы событий, секретные ключи API и эксплуатационные сведения. Причем она была полностью открыта для внешнего доступа, без каких-либо механизмов защиты», — сообщил Нагли.

Исследователи немедленно уведомили DeepSeek о выявленной уязвимости. Как отметила технический директор Wiz Research Ами Литвак в комментарии для агентства Reuters, проблему удалось устранить в течение часа.

 

«Эта уязвимость была слишком очевидной. Есть большая вероятность, что мы были не единственными, кто её обнаружил», — добавила Литвак.

Находка подтвердила опасения экспертов, связанные с безопасностью генеративного искусственного интеллекта, включая реализацию DeepSeek. Впрочем, авторы исследования отмечают, что стремительное развитие технологий неизбежно сопровождается рисками, среди которых — пренебрежение вопросами безопасности.

Напомним, вчера мы писали, что призывают к осторожности при использовании сервиса DeepSeek из-за возможных рисков, связанных со сбором данных для обучения нейросетей и их потенциальной передачей третьим лицам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД предупреждает о новой схеме перехвата платежных данных

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупреждает о новой схеме мошенничества, основанной на перехвате платёжных данных через функцию демонстрации экрана.

Как сообщает официальный телеграм-канал УБК МВД «Вестник киберполиции России», злоумышленники ищут потенциальных жертв среди людей, которые подыскивают работу или подработку.

Чаще всего аферисты предлагают вакансию помощника для пожилого человека, в обязанности которого входит закупка продуктов и лекарств.

После этого мошенники переводят общение в мессенджер, где передают списки покупок и якобы отправляют деньги для их оплаты.

Чтобы внушить доверие, жертве направляют поддельное СМС-сообщение от банка о переводе средств. Таким образом создаётся иллюзия реальной финансовой операции и укрепляется вера в «работодателя».

Под предлогом контроля расходов аферисты просят включить демонстрацию экрана. Это позволяет им перехватывать реквизиты онлайн-банка, включая коды из СМС или push-уведомлений, используемые для двухфакторной аутентификации.

В УБК МВД напомнили: ни при каких обстоятельствах нельзя включать демонстрацию экрана при общении с незнакомыми людьми.

Популярность этой мошеннической техники резко выросла в 2024 году. По данным Банка России, на такие схемы приходилось до 20% дистанционных хищений, общий ущерб составил около 1 млрд рублей. Массово применять её начали уже в январе 2024 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru