DeepSeek expune accidental date sensibile: conversații, chei API și detalii operaționale lăsate fără protecție
Într-o nouă breșă de securitate care ridică semne de întrebare asupra protecției datelor în era AI, DeepSeek, compania chineză cunoscută pentru modelele sale generative competitive, a lăsat expusă o bază de date complet accesibilă publicului, fără nicio autentificare necesară.
Milioane de loguri expuse fără protecție
Cercetătorii de securitate de la Wiz, o firmă de securitate cibernetică din New York, au descoperit că infrastructura de baze de date utilizată de DeepSeek nu avea niciun mecanism de protecție, lăsând la vedere un volum semnificativ de date sensibile. Printre informațiile accesibile oricui avea cunoștințe minime de SQL se numără istoricul complet al conversațiilor utilizatorilor cu chatbot-ul DeepSeek, fluxuri de loguri backend, chei API și metadate operaționale.
Baza de date compromisă era găzduită pe domeniile oauth2callback.deepseek.com:9000 și dev.deepseek.com:9000, iar accesul la aceasta putea fi obținut fără autentificare. Potrivit Wiz, cercetătorii au descoperit rapid că puteau rula comenzi SQL direct din browser, obținând o listă detaliată a dataseturilor disponibile.
Vulnerabilitate majoră: acces total la baza de date
Specialiștii în securitate au constatat că expunerea nu doar că permitea accesul la date, dar oferea și posibilitatea escaladării privilegiilor în întregul mediu DeepSeek. Printre informațiile accesibile se numărau timestamp-uri, referințe la endpoint-uri API și date despre infrastructura backend a companiei.
„Adopția rapidă a serviciilor AI fără măsuri corespunzătoare de securitate este extrem de riscantă” a declarat Gal Nagli, cercetător de securitate cloud la Wiz. „În timp ce mulți se concentrează pe amenințările viitoare ale inteligenței artificiale, pericolele reale provin adesea din riscuri de bază, precum expunerea accidentală a bazelor de date. Protejarea datelor utilizatorilor trebuie să fie o prioritate absolută pentru echipele de securitate.”
DeepSeek reacționează, dar rămâne sub semnul întrebării
Potrivit Wiz, DeepSeek a remediat rapid problema după ce a fost notificată, însă compania nu a oferit încă un comentariu oficial pe marginea incidentului. Politica sa de confidențialitate indică faptul că toate datele utilizatorilor sunt stocate pe servere din China, ceea ce ridică preocupări suplimentare legate de protecția și utilizarea acestor informații.
Problemele DeepSeek nu se opresc aici. Compania s-a aflat anterior în centrul unei controverse cu OpenAI, fiind suspectată că a folosit modele GPT pentru a antrena propriii algoritmi, fără permisiune. De asemenea, aplicația sa mobilă a fost interzisă în Italia, în urma investigațiilor autorităților de protecție a datelor din Uniunea Europeană.
Acest incident subliniază o problemă tot mai mare în peisajul AI: companiile care dezvoltă tehnologii avansate trebuie să acorde o atenție sporită securității și protecției datelor utilizatorilor. Într-o eră în care inteligența artificială devine tot mai integrată în viața cotidiană, astfel de scăpări pot avea consecințe grave pentru confidențialitatea și siguranța digitală a utilizatorilor.
