Amerikanın kibertəhlükəsizlik şirkəti Wiz, bu yaxınlarda məşhurlaşan DeepSeek süni intellekt platformasında istifadəçi məlumatları ilə bağlı ciddi təhlükəsizlik zəifliyi aşkar edib. Mütəxəssislər tərəfindən aparılan təhlillər nəticəsində qorunmayan məlumat bazası aşkar edilib. Bu verilənlər bazası ictimai olub və heç bir parol qorunması olmadan asanlıqla əldə etmək mümkün olub.
DeepSeek platformasını araşdırarkən Wiz mütəxəssisləri iki kritik açıq port (8123 və 9000) müəyyən ediblər. Sözügedən portlar heç bir şifrələmə və təhlükəsizlik tədbirləri olmadan verilənlər bazasına birbaşa giriş imkanı verirdi. Yalnız mətn əmrləri ilə daxil oluna bilən verilənlər bazasında edilən sorğular nəticəsində 976 min sətirdən ibarət log qeydi üzə çıxıb. Ən diqqətçəkən məlumatlar bunlar idi:
- timestamp:6 yanvar 2025-ci il tarixinə istifadəçi sessiyalarının vaxt qeydləri
- string.values: Söhbət tarixçələri, API açarları, server məlumatları və metadata
- _source: Söhbət qeydlərinin, API açarlarının, kataloq strukturlarının və metadatanın mənbəyi
Wiz tədqiqatçılarının fikrincə, təcavüzkarlar bu boşluqdan istifadəçilərin məxfi məlumatlarını, o cümlədən düz mətn formatında söhbət mesajlarını əldə etmək üçün istifadə edə bilərlər. Şifrələrin və yerli faylların şirkət serverlərindən oğurlanması riski də var. Sızdırılan məlumatların istifadəçi hesabları ilə əlaqəli olub-olmaması və ya anonim olub-olmaması barədə məlumat yoxdur.
