DeepSeek, enorme falla di sicurezza: esposto online database con oltre 1 milione di chat e altri dati

DeepSeek, enorme falla di sicurezza: esposto online database con oltre 1 milione di chat e altri dati

Un'indagine condotta da Wiz Research ha rivelato una significativa vulnerabilità nei database di DeepSeek, la startup cinese di intelligenza artificiale. L'esposizione ha messo a rischio oltre un milione di record contenenti informazioni sensibili degli utenti

di pubblicata il , alle 10:11 nel canale Web
DeepSeek
 

Il modello linguistico DeepSeek-R1 è balzato agli onori della cronaca negli scorsi giorni, ma non tutte le notizie sono positive. Un'indagine recente ha, infatti, portato alla luce una grave falla di sicurezza che ha esposto pubblicamente due database contenenti informazioni altamente sensibili. La rivelazione ha ulteriormente messo in discussione l'affidabilità delle misure di protezione dei dati adottate dall'azienda, in un ambito in cui i dubbi eranno già più di uno.

Wiz Research, nello specifico, ha scoperto istanze ClickHouse non messe in sicurezza durante una valutazione dell'infrastruttura esterna di DeepSeek, rivelando un tesoro di informazioni riservate. Tra i dati esposti figuravano oltre un milione di voci di registro contenenti la cronologia delle chat degli utenti in formato non criptato, chiavi API, dettagli di backend e metadati operativi. L'accesso a queste informazioni era possibile attraverso semplici query SQL tramite un'interfaccia web, senza alcuna forma di autenticazione richiesta.

DeepSeek, scoperte banali falle di sicurezza nell'infrastruttura

L'ampiezza e la natura dei dati esposti sono abbastanza allarmanti: la tabella "log_stream" nei database conteneva log interni sensibili risalenti al 6 gennaio 2025, includendo le query degli utenti al chatbot di DeepSeek, le chiavi utilizzate dai sistemi di back-end per autenticare le chiamate API, informazioni interne sull'infrastruttura e sui servizi, nonché vari metadati operativi. Wiz Research ha sottolineato la gravità della situazione, affermando che "questo livello di accesso rappresentava un rischio critico per la sicurezza di DeepSeek e per i suoi utenti finali".

Le implicazioni di questa esposizione sono molteplici: non solo un utente malintenzionato avrebbe potuto recuperare registri sensibili e messaggi di chat in chiaro, ma avrebbe anche potuto potenzialmente esfiltrare password non criptate e file locali, insieme a informazioni proprietarie, direttamente dal server. La configurazione utilizzata nei database permetteva query potenzialmente intrusive, anche se i ricercatori di Wiz hanno limitato la loro esplorazione per mantenere la loro ricerca entro vincoli etici. La buona notizia è che DeepSeek ha risposto alle accuse in maniera tempestiva, affrontando l'esposizione e rendendo i database non più accessibili pubblicamente.

Tuttavia, al momento non è dato sapere se i ricercatori di Wiz siano stati i primi a scoprire questa vulnerabilità o se attori malintenzionati abbiano già sfruttato l'errata configurazione accedendo alla mole importante di dati sensibili degli utenti lasciata esposta. La violazione si inserisce nell'affollato ambito della sicurezza dei dati nel settore dell'intelligenza artificiale, e diventa ancor più importante se si considera la provenienza dello sviluppatore di R1. Trattandosi di una società cinese, DeepSeek è soggetta a richieste di accesso ai dati potenzialmente aggressive da parte del governo del paese, un fattore che aggiunge un ulteriore livello di complessità alla situazione.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
appleroof31 Gennaio 2025, 10:17 #1
Boh, ho l'impressione che stanno solo facendo la guerra ai cinesi, e con accanimento pure
UtenteHD31 Gennaio 2025, 10:19 #2
Corretto e grazie per migliori info, la falla e' stata scoperta da ricercatori che hanno comunicato ed il tutto e' gia' stato corretto. Vedremo poi se nessuno se ne era accorto.

Per questa IA che sia con bug o senza che hanno gia' detto tutti che ovviamente va migliorata, fixata, ecc.. essendo (con pesanti blindature per certi argomenti) piu' leggera e consuma molte meno risorse in quanto non usa il cuda, ma il PTX sempre Nvidia mi sembra, MA funziona bene anche su GPU meno potenti e' nell'interesse di molti, pure della MS per avviarla in locale sui dispositivi, ecc.. ora pure una comunita' Scientifica ne e' interessata per dei calcoli matematici specifici, ecc..

Restrizioni o no, mi sa che i Cinesi ci asfalteranno in tutto.
Unrue31 Gennaio 2025, 10:36 #3
Erano troppo occupati a rendere veloce il codice
gd350turbo31 Gennaio 2025, 10:38 #4
Originariamente inviato da: UtenteHD
Restrizioni o no, mi sa che i Cinesi ci asfalteranno in tutto.

Questo è sicuro...
A breve busseranno alla porta della vordenlyen a chiedere "quanto volele pel eulopa ?"

In merito alla news:
Ma che informazioni altamente personali possono trovare in una chat ?
Una mail, una password, che se non sono le stesse usate per il conto online non servono a niente e le domande che questa mail ha fatto al bot, wow !
noncapiscountubo31 Gennaio 2025, 10:39 #5

da fastidio

Ho una leggera sensazione che dia un poco fastidio a qualcuno, ma giusto un pizzico
R@nda31 Gennaio 2025, 10:53 #6
Come tutte le innovazioni a portata di massa, quando decentrano il potere, automaticamente diventano il male, per gli interessi di qualcuno.
Se poi sono degli "altri" si va dritti all'inferno senza passare dal via.
Meditare sulle notizie, su chi le da e come le da, sempre.
Vale per tutto, al netto che non condivido una virgola del modo di vivere Cinese e peggio dell'operato del governo Cinese ma questo è "quasi" un altro discorso.
cagnaluia31 Gennaio 2025, 11:41 #7
lnik con il database?
Kuriosone31 Gennaio 2025, 18:55 #8
Quindi creare una mail secondaria o terziaria ed una password collegandosi magari con Vpn crea problemi a chi ? quali dati sensibili vengono esposti ? la mail ? la password creata ad hoc per l'account fatemi capire dove sta il pericolo
k0nt301 Febbraio 2025, 08:15 #9
Originariamente inviato da: gd350turbo
Ma che informazioni altamente personali possono trovare in una chat ?
Una mail, una password, che se non sono le stesse usate per il conto online non servono a niente e le domande che questa mail ha fatto al bot, wow !


Originariamente inviato da: Kuriosone
Quindi creare una mail secondaria o terziaria ed una password collegandosi magari con Vpn crea problemi a chi ? quali dati sensibili vengono esposti ? la mail ? la password creata ad hoc per l'account fatemi capire dove sta il pericolo

Nel database hanno trovato diversi log, non solo chat. Pare anche credenziali di accesso e diversi dettagli interni del servizio. Riguardo alle chat comunque non fatico a credere che ci siano informazioni estremamente confidenziali come indirizzo di residenza, condizioni mediche ecc...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^