Dezastru de securitate la DeepSeek. Peste un milion de conversații au ajuns disponibile spațiului public

Publicat: 31 ian. 2025, 22:37, de Alexandru Bogdan Grigoriev, în TEHNOLOGIE

Foto: ndtv.com

DeepSeek, startup-ul chinez care a stârnit agitație, se confruntă acum cu o criză majoră de securitate. O breșă descoperită de cercetătorii de la Wiz a permis accesul neautorizat la o bază de date care conținea informații extrem de sensibile, inclusiv conversații private între utilizatori și chatbot-ul DeepSeek, dar și coduri secrete de acces la sistemele interne.

Experții de la Wiz au folosit tehnici obișnuite de recunoaștere a suprafeței de atac pentru a verifica securitatea platformelor online. În timpul acestui proces, au identificat aproximativ 30 de subdomenii DeepSeek, dintre care două (oauth2callback.deepseek.com:9000 și dev.deepseek.com:9000) au dezvăluit acces neautorizat la baza de date ClickHouse a companiei.Astfel, oricine putea accesa baza de date dintr-un simplu browser web, fără autentificare, și putea trimite comenzi SQL pentru a vizualiza sau modifica datele sensibile.

În baza de date vulnerabilă, cercetătorii au descoperit peste un milion de conversații între utilizatori și chatbot, care ar fi putut conține informații personale sau confidențiale, dar și chei API secrete, care ofereau acces la sistemele interne ale DeepSeek.

După ce cercetătorii de la Wiz au notificat compania, baza de date a fost securizată, iar accesul neautorizat a fost blocat. Cu toate acestea, incidentul a stârnit un val de îngrijorare în industria AI, ridicând întrebări serioase despre standardele de securitate și protecția datelor.