Kommentare zu folgendem Beitrag: Der DeepSeek-Leak: Nutzerdaten und API-Schlüssel ungeschützt im Netz
Unklar ist jedoch, wie lange die Daten bereits frei zugänglich waren.
Clickhouse ist ein Open-Source-System für das Spaltendatenbankverwaltungssystem für schnelle Analyseabfragen in großen Datensätzen. Es wurde von Yandex entwickelt und wird häufig für die Echtzeitdatenverarbeitung, die Protokollspeicherung und die Big-Data-Analyse verwendet, was eine sehr wertvolle und sensible Entdeckung angibt.
Durch die Nutzung der HTTP -Schnittstelle von Clickhouse haben wir auf den /Play -Pfad zugegriffen, der die direkte Ausführung willkürlicher SQL -Abfragen über den Browser ermöglichte. Ausführen einer einfachen „show table“- Query gab eine vollständige Liste der zugänglichen Datensätze zurück.
Unter ihnen stach eine Tabelle heraus: log_stream, die umfangreiche Protokolle mit hochempfindlichen Daten enthielt .
Die Tabelle log_stream enthielt über 1 Million Protokolleinträge mit besonders enthüllten Spalten:
-
Zeitstempel - Protokolle aus dem 6. Januar 2025 !!!
-
span_name - Verweise auf verschiedene interne Deek -API -Endpunkte
-
String.Values - PlainText -Protokolle , einschließlich Chat -Historie , API -Schlüssel, Backend -Details und operative Metadaten
-
_Service - Zeigt an, welcher Deepseek -Dienst die Protokolle generiert hat
-
_Source - Enthüllung des Ursprungs von Protokollanforderungen , enthält Chat -Verlauf, API -Schlüssel, Verzeichnisstrukturen und Chatbot -Metadatenprotokolle
Demnach standen die frei zugänglichen Datenbanken mindestens seit 3,5 Wochen so im Internet!!
23 Tage sind in der IT wohl eher als kleine Ewigkeit zu bezeichnen!!
