DeepSeek, по -видимому, не имеет надежных методов для проверки, был ли скомпрометирован сертификат SSL. Фактически, приложение подвергалось критике за то, что он не проверял сертификаты SSL, что делает его уязвимым для атаки подражания и несанкционированного доступа [1] [3]. Это отсутствие проверки позволяет хакерам выдавать доверенные серверы и перехватывать конфиденциальную информацию, такую как учетные данные для входа и личные данные [1].
Чтобы эффективно проверить на наличие скомпрометированных сертификатов SSL, организации обычно используют комбинацию ручных и автоматизированных методов. Автоматизированные инструменты особенно эффективны, поскольку они постоянно контролируют сертификаты по таким вопросам, как истечение срока действия, проблемы конфигурации и криптографические недостатки, предоставляя уведомления в реальном времени для необходимых действий [9]. Тем не менее, нет никаких признаков того, что DeepSeek использует такие меры.
Вместо этого уязвимости DeepSeek подчеркивают необходимость реализации надлежащей проверки SSL и закрепления сертификата для предотвращения атаки подражания. Это включает в себя обеспечение строгих протоколов проверки SSL в коде приложения и регулярное тестирование на проникновение для обнаружения и исправления уязвимостей, связанных с SSL [1]. Кроме того, интеграция таких инструментов, как Splunk Enterprise Security, может помочь контролировать и проанализировать сертификаты SSL/TLS для потенциальных угроз [2].
Таким образом, DeepSeek, по -видимому, не использует надежные методы для проверки скомпрометированных сертификатов SSL, которые представляют значительные риски безопасности. Реализация надежной проверки SSL и использования автоматических инструментов мониторинга станет важными шагами для улучшения его осанки безопасности.
Цитаты:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://www.splunk.com/en_us/blog/tips-and-tricks/deting-certificate-abuse-with-splunk-enterprise-security-and-stream.html
[3] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[4] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database
[5] https://emilianodc.com/papers/ijsn12.pdf
[6] https://securityaffairs.com/173666/data-freach/deepseek-db-exposed-highly-sensity-information.html
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://projectdiscovery.io/blog/a-hackers-guide-to-ssl-certificates-featuring-tlsx
[9] https://faddom.com/ssl-certificate-monitoring-challenges-methods-and-best-practices/
