DeepSeek, enorme falla di sicurezza: esposto online database con oltre 1 milione di chat e altri dati

Un'indagine condotta da Wiz Research ha rivelato una significativa vulnerabilità nei database di DeepSeek, la startup cinese di intelligenza artificiale. L'esposizione ha messo a rischio oltre un milione di record contenenti informazioni sensibili degli utenti
di Nino Grasso pubblicata il 31 Gennaio 2025, alle 10:11 nel canale WebDeepSeek
Il modello linguistico DeepSeek-R1 è balzato agli onori della cronaca negli scorsi giorni, ma non tutte le notizie sono positive. Un'indagine recente ha, infatti, portato alla luce una grave falla di sicurezza che ha esposto pubblicamente due database contenenti informazioni altamente sensibili. La rivelazione ha ulteriormente messo in discussione l'affidabilità delle misure di protezione dei dati adottate dall'azienda, in un ambito in cui i dubbi eranno già più di uno.
Wiz Research, nello specifico, ha scoperto istanze ClickHouse non messe in sicurezza durante una valutazione dell'infrastruttura esterna di DeepSeek, rivelando un tesoro di informazioni riservate. Tra i dati esposti figuravano oltre un milione di voci di registro contenenti la cronologia delle chat degli utenti in formato non criptato, chiavi API, dettagli di backend e metadati operativi. L'accesso a queste informazioni era possibile attraverso semplici query SQL tramite un'interfaccia web, senza alcuna forma di autenticazione richiesta.
DeepSeek, scoperte banali falle di sicurezza nell'infrastruttura
L'ampiezza e la natura dei dati esposti sono abbastanza allarmanti: la tabella "log_stream" nei database conteneva log interni sensibili risalenti al 6 gennaio 2025, includendo le query degli utenti al chatbot di DeepSeek, le chiavi utilizzate dai sistemi di back-end per autenticare le chiamate API, informazioni interne sull'infrastruttura e sui servizi, nonché vari metadati operativi. Wiz Research ha sottolineato la gravità della situazione, affermando che "questo livello di accesso rappresentava un rischio critico per la sicurezza di DeepSeek e per i suoi utenti finali".
Le implicazioni di questa esposizione sono molteplici: non solo un utente malintenzionato avrebbe potuto recuperare registri sensibili e messaggi di chat in chiaro, ma avrebbe anche potuto potenzialmente esfiltrare password non criptate e file locali, insieme a informazioni proprietarie, direttamente dal server. La configurazione utilizzata nei database permetteva query potenzialmente intrusive, anche se i ricercatori di Wiz hanno limitato la loro esplorazione per mantenere la loro ricerca entro vincoli etici. La buona notizia è che DeepSeek ha risposto alle accuse in maniera tempestiva, affrontando l'esposizione e rendendo i database non più accessibili pubblicamente.
Tuttavia, al momento non è dato sapere se i ricercatori di Wiz siano stati i primi a scoprire questa vulnerabilità o se attori malintenzionati abbiano già sfruttato l'errata configurazione accedendo alla mole importante di dati sensibili degli utenti lasciata esposta. La violazione si inserisce nell'affollato ambito della sicurezza dei dati nel settore dell'intelligenza artificiale, e diventa ancor più importante se si considera la provenienza dello sviluppatore di R1. Trattandosi di una società cinese, DeepSeek è soggetta a richieste di accesso ai dati potenzialmente aggressive da parte del governo del paese, un fattore che aggiunge un ulteriore livello di complessità alla situazione.
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoPer questa IA che sia con bug o senza che hanno gia' detto tutti che ovviamente va migliorata, fixata, ecc.. essendo (con pesanti blindature per certi argomenti) piu' leggera e consuma molte meno risorse in quanto non usa il cuda, ma il PTX sempre Nvidia mi sembra, MA funziona bene anche su GPU meno potenti e' nell'interesse di molti, pure della MS per avviarla in locale sui dispositivi, ecc.. ora pure una comunita' Scientifica ne e' interessata per dei calcoli matematici specifici, ecc..
Restrizioni o no, mi sa che i Cinesi ci asfalteranno in tutto.
Questo è sicuro...
A breve busseranno alla porta della vordenlyen a chiedere "quanto volele pel eulopa ?"
In merito alla news:
Ma che informazioni altamente personali possono trovare in una chat ?
Una mail, una password, che se non sono le stesse usate per il conto online non servono a niente e le domande che questa mail ha fatto al bot, wow !
da fastidio
Ho una leggera sensazione che dia un poco fastidio a qualcuno, ma giusto un pizzicoSe poi sono degli "altri" si va dritti all'inferno senza passare dal via.
Meditare sulle notizie, su chi le da e come le da, sempre.
Vale per tutto, al netto che non condivido una virgola del modo di vivere Cinese e peggio dell'operato del governo Cinese ma questo è "quasi" un altro discorso.
Una mail, una password, che se non sono le stesse usate per il conto online non servono a niente e le domande che questa mail ha fatto al bot, wow !
Nel database hanno trovato diversi log, non solo chat. Pare anche credenziali di accesso e diversi dettagli interni del servizio. Riguardo alle chat comunque non fatico a credere che ci siano informazioni estremamente confidenziali come indirizzo di residenza, condizioni mediche ecc...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".