חוקרי אבטחת המידע של חברת הסייבר וויז (WIZ) חשפו אתמול (ד') פרצת אבטחה חמורה במערכות של חברת דיפסיק הסינית, שזכתה בידיהם לכינוי "DeepLeak". וויז, שמתמחה באבטחת מידע, גילתה כי מסד נתונים שלם של החברה הסינית, הכולל שיחות של משתמשים, מפתחות סודיים ומידע פנימי רגיש, היה חשוף לכל דורש באינטרנט.
● WSJ | פרטים חדשים על "סם אלטמן הסיני" שגרם לטלטלה בשווקים
● המהלכים שמרמזים: אמריקה לא הולכת לוותר בקלות לסטארט-אפ הסיני
● WSJ | מה הלקח למשקיעים מהמפולת של ענקיות הטק
כלומר, לפי החשיפה של וויז, החברה הסינית, שמפתחת מערכות בינה מלאכותית מתקדמות ונהפכה בין לילה למתחרה רצינית של OpenAI, השאירה מידע רגיש חשוף לחלוטין באינטרנט. המשמעות היא שכל אדם עם חיבור לאינטרנט יכול היה לגשת למידע הרגיש של החברה, ללא כל צורך בהזדהות או אמצעי אבטחה.
החוקרים הישראלים של וויז גילו את הפרצה בקלות מפתיעה, כך פרסמה וויז. בבדיקת אבטחה שגרתית, שארכה דקות ספורות בלבד, הם סרקו את האתרים השונים של דיפסיק. בבדיקה הראשונית, החוקרים סרקו את כל האתרים של החברה באינטרנט. הם מצאו כ-30 אתרים שונים - כמו האתר הראשי של החברה, דפי עזרה למשתמשים ודפי מידע טכני. עד כאן הכל היה תקין ורגיל. אבל אז גילו החוקרים משהו מטריד - שני שרתים של החברה היו חשופים לחלוטין באינטרנט. בניגוד לכל כללי האבטחה הבסיסיים, כל אחד יכול היה להיכנס לשרתים האלה - בדיוק כמו שנכנסים לאתר חדשות רגיל, בלי צורך בשם משתמש או סיסמה.
מה שנחשף בשרתים היה חמור במיוחד: מאגר מידע ענק, שהכיל למעלה ממיליון פיסות מידע רגיש. במאגר הזה היו שמורות שיחות פרטיות של משתמשים, קודים סודיים שמשמשים את המערכות של החברה, ומידע פנימי רגיש על האופן שבו המערכות שלה פועלות. כלומר - כל המידע הזה היה גלוי וחשוף באינטרנט מתחילת ינואר 2025, כאילו היה זה מידע ציבורי שמיועד לכולם.
"האימוץ המהיר של שירותי בינה מלאכותית, ללא אמצעי אבטחה מתאימים, טומן בחובו סיכון משמעותי", מסר גל נגלי, חוקר אבטחת ענן בוויז. לדבריו, "בעוד שרוב תשומת הלב בנוגע לאבטחת בינה מלאכותית מתמקדת באיומים עתידיים, הסכנות האמיתיות נובעות לעיתים קרובות מסיכונים בסיסיים - כמו חשיפה חיצונית בלתי־מכוונת של מסדי נתונים". עוד לדבריו, "הגנה על נתוני הלקוחות חייבת להישאר בראש סדר העדיפויות של צוותי האבטחה, וחשוב שצוותי האבטחה יעבדו בשיתוף פעולה הדוק עם מהנדסי הבינה המלאכותית, כדי להגן על הנתונים ולמנוע חולשות". לדברי וויז, מיד כשקיבלה את הדיווח על הפרצה במערכות שלה, מיהרה דיפסיק לתקן אותה.
"חשוב להדגיש כי צריך להפריד בין פרצות אבטחה מהסוג שוויז מצאו, לבין עצם העובדה שהמידע מועבר הלאה לגורמי ממשל או צד שלישי", אומר לגלובס אורי אליאבייב, יועץ בתחום הבינה המלאכותית. "כלומר, יכול להיות שהמערכת של DeepSeek מאובטחת בצורה הטובה ביותר, אך זה לא אומר שהמידע שלכם שמור בשרתים שלה בלבד. חשוב לקחת את זה בחשבון כאשר משתפים מידע אישי עם שירותים כאלה". אליאבייב הוסיף כי "מעל כל זה, מקרים כאלה יכולים לקרות גם לחברות מערביות. במרץ 23, נחשף כי תקלה ב-ChatGPT גרמה לכך שמשתמשים יוכלו לראות את כותרות השיחה של משתמשים אחרים. לכן, צריך להיות מאוד זהירים לגבי המידע שמתשתפים עם שירותים כאלה - בין אם הם מערביים או סינים".
פרצת האבטחה מצטרפת לשורה של בעיות נוספות בדיפסיק
חשיפה זו מגיעה על רקע כך כי בתוך ימים ספורים בלבד הפכה דיפסיק הסינית לסיפור ההצלחה החם של עולם הבינה המלאכותית. החברה נוסדה במאי 2023 על ידי ליאנג וונפנג, ראש קרן הגידור High-Flyer Quant, המנהלת נכסים בהיקף של כ-8 מיליארד דולר. החברה זכתה לתשומת לב עולמית חסרת־תקדים בחודש הנוכחי, כשהציגה את הצ'אט החכם שלה - מודל V3, שפותח בהשקעה של פחות מ-6 מיליון דולר, ובאמצעות חומרה פשוטה יחסית.
ההישג המרשים של החברה, שהצליחה לפתח מודל המתחרה ביכולותיו במודלים של ענקיות כמו OpenAI וגוגל, בעלות נמוכה משמעותית, טלטל את שוק ההון העולמי; מניות חברות השבבים נפלו בחדות, בראשן אנבידיה, שאיבדה כ-600 מיליארד דולר משווי השוק שלה.
אולם כעת, החשיפה של וויז מצטרפת לשורת קשיים שמתפרסמים בימים האחרונים - תחילה, פורסם כי נחשפו תקלות טכניות ומתקפות סייבר שהשביתו את שירותי החברה, בהמשך עלו חשדות למעורבות הממשל הסיני ולצנזורה פוליטית, ואז הגיעו האשמות מצד מיקרוסופט ו-OpenAI על שימוש לא מורשה בטכנולוגיה שלהן.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.
כתבות
ני"ע
