LINUX.ORG.RU
ФорумTalks

DeepSeek, кажется, решето

 ,


0

2 
Эксперты американского IT-стартапа Wiz, специализирующегося на решениях в области облачной безопасности, проанализировали китайскую платформу DeepSeek на уязвимости. В итоге они наткнулись на открытую базу данных с 976 тысячами строк логов, включающую конфиденциальную информацию пользователей — как оказалось, она была просто оставлена «без присмотра».

В ходе тестирования платформы эксперты наткнулись на два открытых порта (8123 и 9000), ведущих к базе данных, даже не защищённой паролем: к ней можно было обращаться с помощью текстовых команд. После нескольких запросов специалистам удалось извлечь из неё журнал log_stream, содержащий 976 тысяч строк. Самые интересные поля выглядят так:

    * timestamp — логи с 6 января 2025 года, включающие время сеансов работы;
    * string.values — текстовые журналы с историей чатов, ключами API, сведениями о серверной части и метаданными;
    * _source — информация о происхождении запросов журнала, содержащая историю чатов, ключи API, структуры каталогов и журналы метаданных чат-бота.

По словам экспертов, используя найденную «дыру», злоумышленники могли получить конфиденциальные данные пользователей, включая их сообщения в чате в формате обычного текста, а также похитить пароли и локальные файлы с серверов компании. При этом они не уточнили, связаны ли обнаруженные данные с аккаунтами пользователей, или обезличены.

На момент написания новости уязвимость уже была устранена, однако официального заявления на этот счёт от разработчиков DeepSeek так и не последовало.

Источник

Оригинальный источник

★★★★★
Костыли и подпорки. Везде костыли. Даже на швейцарской ж/д.
А посоветуйте дефолтную коробочку bluetooth -> jack 3.5
Ответ на: комментарий от dataman

Ну мы ж не опеннет, надо и тут вбросить :) А то все жалуются, что ЛОР протух и поговорить не о чем.

Zhbert ★★★★★
() автор топика

Интересно, сколько «технологических отверстий» нашлось бы, если бы теми же средствами был проанализирован, допустим, ChatGPT.

CrX ★★★★★
()
Ответ на: комментарий от Irma

Быстро заткнутое не считается дырявым. Но осадочек остаётся, да.

dataman ★★★★★
()
Последнее исправление: dataman (всего исправлений: 1)
Ответ на: комментарий от Bad_ptr

Если всё, что ему надо - процы 2 шт, 1 Тб диска и 768 Гб памяти, то можно до 300 баксов уложиться, просто железо будет постарше.

Вот AlphaFold 3 хотя б чисто по размеру хранилища имеет требования гораааааздо больше, собака…

Dorif ★★★
()
Ответ на: комментарий от Dorif

Там основное требование как я понял — пропускная способность памяти. Т.е. для приемлемой скорости нужна многоканальная работа с памятью и ДДР5
так что если будет другой проц и память — может быть очень медленно

Bad_ptr ★★★★★
()
Ответ на: комментарий от Dorif

просто железо будет постарше

Не взлетит, наверное. Там требования к скоростям еще есть.

Zhbert ★★★★★
() автор топика

Ну теперь её топить будут всеми силами, а потом правительство США обвинит DeepSeek в угрозе национальной безопасности и наложат большую кучу санкций.

unixnik ★★★★★
()
Ответ на: комментарий от unixnik

и наложат большую кучу

с этим они уже справились

olelookoe ★★★
()

...наткнулись на два открытых порта (8123 и 9000), ведущих к базе данных...

Тю ё! Это ж первая заповедь админа БД — перекрывать порты. Припоминаю, как я админил одну отраслевую базу, так до конфликтов с пользователем доходило. Я ей, главное, объясняю, что не могу дать полный доступ, ибо потом мне отвечать в случае чего, а она не слушает. «Дай!» - и всё. Потом я понял, что цель была такая — чтобы я задолбался.

sparkie ★★★★★
()
Ответ на: комментарий от Zhbert

как раз нормальный девопсячий подход. Fail fast :)

leave ★★★★★
()
Ответ на: комментарий от sparkie

Так там фаундер компании принципиально не нанимает толковых инженеров, предпочитает вчерашних студентов с глазами горящими. Нейронки они, может, делать и умеют, а вот админить не могут вообще.

leave ★★★★★
()

конфиденциальные - это ойпи, который без других данных даже к персональным не относится.это влажная история, которую лишь скриншотом подтвердили. у кликхауса действительно может быть пустой пароль… я раз базу redis без пароля нашел, там были данные от апишки банка…

rtxtxtrx ★★
()
Ответ на: комментарий от leave

тренеры покемонов, они же нейронщики - это не инженеры как и программисты ими не являются. за инцидент ответственен только девжопс, который представляет собой часто бездарность с раздутым чсв, которая не может написать и цикла

rtxtxtrx ★★
()
Ответ на: комментарий от sparkie

Если человек умеет в нейронки, то он уже толковый инженер, нет?

Толковый инженер не обязан знать технические регламенты в области, где раньше не работал. В лучшем случае изучит, когда ему о них скажут, или сам случайно узнает.

question4 ★★★★★
()

Пользуетесь google AI студио, корпорация добра и так о вас все знает, и не будет сливать ваши данные хакерам и китайцам

One ★★★★★
()
Ответ на: комментарий от Bad_ptr

Афтар чудак, креатив навоз, впрочем его виртуальную модель коня в вакууме и так в комментариях разнесли

One ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)
Костыли и подпорки. Везде костыли. Даже на швейцарской ж/д.
Talks
А посоветуйте дефолтную коробочку bluetooth -> jack 3.5