Violazione dei Dati DeepSeek: 1 Milione di Log, Cronologia Chat e Chiavi Esposte

È stato scoperto che un database pubblicamente accessibile appartenente all’azienda cinese di intelligenza artificiale DeepSeek ha rivelato informazioni sensibili, tra cui la cronologia delle chat private e le chiavi segrete.

I ricercatori di Wiz Research hanno scoperto che il database esposto poteva essere accessibile da chiunque senza alcuna autenticazione, rendendolo vulnerabile a potenziali violazioni di sicurezza.

DeepSeek, noto per i suoi innovativi modelli di intelligenza artificiale, in particolare il modello di ragionamento DeepSeek-R1 economicamente efficiente, ha recentemente attirato l’attenzione nel settore dell’IA per le sue prestazioni impressionanti.

Tuttavia, un’indagine di Wiz Research ha rivelato una preoccupante falla di sicurezza che permetteva un accesso completo al database di DeepSeek, che includeva più di un milione di righe di dati sensibili di registro.

Il database, ospitato su due indirizzi: oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000, è stato scoperto durante un controllo di sicurezza di routine dei siti web pubblici dell’azienda.

Il database era gestito su un sistema open-source chiamato ClickHouse, comunemente utilizzato per l’elaborazione rapida dei dati. Sfortunatamente, ciò ha reso i dati altamente accessibili e facili da sfruttare per chiunque con conoscenze tecniche.

Tra le informazioni sensibili esposte nel database vi erano registri della cronologia delle chat degli utenti, chiavi API, dati di backend e persino dettagli operativi interni. Questi registri includevano informazioni personali, messaggi di chat in testo semplice e dati sui sistemi interni di DeepSeek.

Questo tipo di dati avrebbe potuto essere utilizzato dagli aggressori per accedere agli account degli utenti, rubare password o interferire con le operazioni dell’azienda.

Mentre Wiz Research ha immediatamente segnalato l’esposizione a DeepSeek, l’azienda ha agito rapidamente per mettere in sicurezza la vulnerabilità. L’incidente mette in evidenza il rischio continuo che molte aziende di IA affrontano mentre espandono rapidamente i loro servizi senza affrontare pienamente le preoccupazioni per la sicurezza.

La scoperta di Wiz Research serve come promemoria che, mentre le tecnologie dell’IA continuano a progredire, anche l’infrastruttura che le supporta deve essere messa in sicurezza. Man mano che le aziende di IA crescono e gestiscono dati più sensibili, l’industria deve garantire che siano in atto adeguate misure di sicurezza per proteggere gli utenti e le loro informazioni dall’esposizione.