O bază de date a DeepSeek a fost descoperită expusă pe internet, punând startup-ul chinez, care a provocat neliniște pe burse la începutul săptămânii, într-o situație neplăcută. Această vulnerabilitate a permis accesul neautorizat la peste un milion de conversații private dintre utilizatori și chatbot-ul DeepSeek, precum și la informații tehnice sensibile despre sistemele interne.
Cine a descoperit că baza de date DeepSeek era expusă și cum?
Cercetătorii de securitate de la Wiz au descoperit că baza de date DeepSeek era vulnerabilă folosind tehnici standard de recunoaștere a suprafeței de atac. Aceștia au identificat aproximativ 30 de subdomenii ale DeepSeek, dintre care două (oauth2callback.deepseek.com:9000 și dev.deepseek.com:9000) permiteau acces neautorizat la baza de date ClickHouse.
Oricine putea accesa baza de date direct din browser și trimite instrucțiuni, comenzi SQL (Structured Query Language), pentru a vedea sau modifica informațiile stocate, fără să aibă nevoie de parolă sau alte verificări de securitate. Practic, au fost lăsate la vedere peste un milion de conversații între utilizatori și chatbot-ul DeepSeek, alături de coduri secrete de acces (numite chei API) și informații tehnice despre cum funcționează sistemele din spate ale companiei.
Ce puteau face atacatorii cu baza de date DeepSeek
Accesul neautorizat la baza de date DeepSeek prezenta un risc major, atât pentru companie, cât și pentru utilizatorii săi. Oricine ar fi descoperit această breșă de securitate putea să citească toate conversațiile private dintre utilizatori și chatbot-ul DeepSeek. Dacă în aceste conversații oamenii au împărtășit informații personale sau confidențiale (cum se întâmplă uneori când vorbim cu un chatbot), acestea erau acum expuse. E ca și cum cineva ar fi putut citi toate mesajele private ale utilizatorilor, fără ca aceștia să știe.
Cheile API (Application Programming Interface Keys) expuse în baza de date ar fi permis unui atacator să se conecteze la sistemele interne ale DeepSeek. Cu aceste chei, un atacator ar fi putut să se conecteze la serviciile companiei și să acceseze sau să modifice date care ar fi trebuit să rămână private.
Modul în care a fost configurată baza de date ClickHouse permitea oricui să acceseze și să descarce fișiere direct de pe serverele DeepSeek, folosind doar un browser web obișnuit.
Baza de date DeepSeek a fost securizată după ce cercetătorii au notificat compania despre vulnerabilitate, dar acest caz servește drept avertisment pentru întreaga industrie AI și pentru noi, utilizatorii.
