DeepSeek, una startup cinese, ha sorpreso molti con il lancio del suo modello di intelligenza artificiale R1, capace di competere con soluzioni già affermate come ChatGPT di OpenAI e Llama di Meta. Questa nuova tecnologia ha riscosso un successo immediato, guadagnando il primo posto nella classifica delle app gratuite nell’Apple App Store negli Stati Uniti e raggiungendo la decima posizione nel Play Store. La rapida ascesa ha attirato l’attenzione anche di attaccanti informatici, portando a un attacco su larga scala.
problemi di sicurezza rilevati
Un’indagine condotta dalla compagnia di sicurezza informatica Wiz ha rivelato che DeepSeek presenta gravi vulnerabilità nel suo sistema di sicurezza. Secondo il rapporto fornito, è stato semplice per i ricercatori scoprire una database ClickHouse accessibile pubblicamente, che risultava completamente aperto e privo di autenticazione.
tipologie di dati esposti
Questa lacuna nella sicurezza ha comportato l’esposizione di dati sensibili, tra cui:
- cronologia chat
- dati di backend
- segreti dell’API
- flussi di log
- dettagli operativi
In aggiunta, era possibile per un attaccante ottenere il controllo totale del database, potendo così elevare i privilegi all’interno dell’ambiente di DeepSeek senza alcun meccanismo di difesa esterno.
conseguenze e raccomandazioni
Questi problemi non solo espongono rischi per gli utenti, ma compromettono anche la sicurezza interna di DeepSeek. Ad esempio, un attaccante potrebbe rubare registri sensibili e messaggi, mentre accedere a password e file locali con informazioni riservate.
In sintesi, DeepSeek trascorre un momento critico, dovendo affrontare gravi criticità legate alla sicurezza. Fortunatamente, per coloro che non si sentono sicuri nell’utilizzare il servizio, esistono diverse alternative disponibili.
Lascia un commento