L'empresa xinesa d'IA DeepSeek ha arreglat una base de dades de fons exposada que vessava informació delicada, incloses els historials de xat d'usuaris i les claus de l'API, a Internet obert. La base de dades DeepSeek no estava protegida amb una contrasenya, cosa que permetia a qualsevol persona a Internet accedir a més d'un milió de registres sense xifrar.
Els investigadors de seguretat del gegant del núvol Wiz han assegurat que han trobat la base de dades exposada i han donat l'alerta a DeepSeek, que poc després va deixar la base de dades fora de línia. Segons Wired, els investigadors de Wiz han confirmat que els registres de xat exposats estaven en xinès, però es traduïen fàcilment. Encara no se sap si algú més, que no sigui Wiz, ha estat capaç de trobar la base de dades abans d'estar segura, ni se sap quant de temps va estar exposada la base de dades. De moment, DeepSeek no s'ha pronunciat.
Les suposades causes
Les bases de dades mal configurades sovint són causades per errors humans, més que no pas per una intenció maliciosa. DeepSeek ha tingut popularitat viral des del seu llançament públic al desembre. Es diu que la base de dades, allotjada a oauth2callback.DeepSeek[.]com:9000 i dev.deepseek[.]com:9000, ha permès l'accés no autoritzat a una àmplia gamma d'informació. L'exposició, va assenyalar Wiz, va permetre un control complet de la base de dades i una possible escalada de privilegis dins l'entorn DeepSeek sense requerir cap autenticació. Això va implicar aprofitar la interfície HTTP de ClickHouse per executar consultes SQL arbitràries directament a través del navegador web. Actualment, no queda clar si altres actors maliciosos van aprofitar l'oportunitat per accedir o descarregar les dades.
"La ràpida adopció de serveis d'IA sense la seguretat corresponent és intrínsecament arriscada", han assegurat fonts properes a The Hacker News. "Si bé gran part de l'atenció al voltant de la seguretat de la IA se centra en les amenaces futuristes, els perills reals sovint provenen de riscos bàsics, com l'exposició externa accidental de bases de dades". I han afegit: "La protecció de les dades dels clients ha de seguir sent la màxima prioritat per als equips de seguretat, i és crucial que els equips de seguretat treballin estretament amb els enginyers d'IA per salvaguardar les dades i prevenir l'exposició".
El xatbot d'IA del principiant ha arribat al capdamunt dels gràfics de la botiga d'aplicacions a Android i iOS en diversos mercats, tot i que s'ha convertit en l'objectiu "d'atacs maliciosos a gran escala", cosa que el va impulsar a aturar temporalment els registres. En una actualització publicada aquest passat 29 de gener de 2025, la companyia va dir que ha identificat el problema i que està treballant per implementar una solució. Al mateix temps, l'empresa també ha estat a l'extrem receptor de l'escrutini sobre les seves polítiques de privadesa, sense oblidar els seus vincles xinesos que s'han convertit en una qüestió de seguretat nacional per als Estats Units.