Un’importante vulnerabilità nella sicurezza della società cinese di intelligenza artificiale DeepSeek ha sollevato serie preoccupazioni riguardo la privacy dei dati e la cybersecurity. I ricercatori di sicurezza di Wiz Research hanno rivelato che un database di DeepSeek era completamente esposto su Internet, provocando l’esposizione di dati sensibili degli utenti e di informazioni interne all’azienda.
Cos’è stato esposto?
Il database ClickHouse compromesso conteneva più di un milione di set di dati, inclusi dettagli molto riservati. Tra le informazioni trapelate si trovano log di chat completi, chiavi API interne e dettagli approfonditi del sistema di DeepSeek. L’accesso non autorizzato permetteva il controllo completo delle operazioni sui dati, aumentando il potenziale di danno.
Il database era accessibile tramite gli indirizzi oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000, senza alcun requisito di autenticazione. Questo consentiva a chiunque possedesse conoscenze tecniche di base di eseguire query SQL e accedere ai dati.
Come è stata scoperta la vulnerabilità?
Secondo un articolo di Wiz Research, il gruppo di sicurezza ha scoperto il database non protetto pochi minuti dopo aver avviato un controllo di routine della sicurezza esterna di DeepSeek. I ricercatori hanno evidenziato che, sebbene tali vulnerabilità non siano rare, la scala e la gravità di questo incidente sono particolarmente preoccupanti.
Ami Luttwak, Chief Technology Officer di Wiz, ha definito l’incidente come un “errore drammatico”, sottolineando il basso sforzo richiesto per sfruttare la vulnerabilità e il livello elevato di accesso fornito. Ha messo in guardia sul fatto che i servizi di DeepSeek non sono “abbastanza maturi per essere utilizzati con dati sensibili.”
Risposta di DeepSeek
DeepSeek ha prontamente affrontato il problema, chiudendo la vulnerabilità entro un’ora dalla segnalazione. Non è chiaro se terzi non autorizzati abbiano avuto accesso ai dati durante il periodo di esposizione.
Questo evento potrebbe danneggiare la fiducia nei confronti di DeepSeek, che aveva appena ottenuto notorietà grazie al suo strumento di intelligenza artificiale DeepSeek-R1. Questo strumento è in grado di competere con GPT-4, l’originariamente più potente generatore di AI, in termini di abilità e costo. La perdita di dati rilevanti solleva dubbi sulla capacità dell’azienda di gestire le informazioni degli utenti e garantire la sicurezza web.
Inoltre, la fuga di dati di DeepSeek sottolinea l’importanza della sicurezza in rete nel settore dell’intelligenza artificiale. Mentre le aziende di AI crescono e sviluppano nuove tecnologie, è fondamentale preservare la sicurezza delle informazioni degli utenti per garantire la propria integrità. Attualmente, questo caso rappresenta un chiaro segnale: in merito alla sicurezza in rete, il dubbio è molto più che giustificato.
Lascia un commento