Катастрофа безопасности. DeepSeek отправляет данные на серверы, контролируемые китайской ByteDance, не шифруя их

Apple настоятельно рекомендует разработчикам iPhone и iPad применять шифрование данных. Но программа DeepSeek AI Assistant отправляет конфиденциальные данные через незашифрованные каналы, делая данные доступными для чтения любому, кто может контролировать трафик. Более опытные злоумышленники также могут подделать данные во время их передач. Защита в программе отключена по неизвестным причинам, говорят в NowSecure.

По информации исследователей, данные отправляются на серверы, которые контролируются ByteDance, китайской компанией, владеющей TikTok. Хотя некоторые из этих данных должным образом зашифрованы, после того, как они расшифрованы на серверах, контролируемых ByteDance, их можно перекрестно направлять на данные пользователей, собранные в других местах, чтобы идентифицировать конкретных пользователей и потенциально отслеживать запросы и другое использование.

Аудит приложения NowSecure обнаружил другие проблемы, которые, по мнению исследователей, могут вызвать беспокойство. Например, программа использует симметричную схему шифрования, известную как 3DES или тройной DES. Предыдущие исследования показали, что эту схему можно взломать во время практических атак для дешифровки веб-трафика и трафика VPN.

«[DeepSeek] не обеспечила или не хочет обеспечивать базовую защиту ваших данных и личных данных. Есть основные правила безопасности, которые не соблюдаются, намеренно или непреднамеренно. В конце концов, это ставит под угрозу ваши данные и данные вашей компании", — говорит соучредитель NowSecure Эндрю Хог.

NV Техно писал, что ранее была обнаружена масштабная утечка данных пользователей DeepSeek. Слив содержал и конфиденциальные данные.