Un database accessibile al pubblico appartenente a DeepSeek è stato scoperto dai ricercatori di Wiz, una società di sicurezza con sede a New York. Questa falla riguardava il software di Intelligenza artificiale e ha sollevato preoccupazioni nel settore. Dopo la segnalazione dell’azienda cinese, il bug è stato corretto, ma resta incerto se i dati siano caduti nelle mani dei cybercriminali.
Il database ClickHouse, collegato a DeepSeek, è stato individuato come accessibile da remoto senza autenticazione. Al suo interno sono state trovate oltre un milione di informazioni, incluse la cronologia delle chat, informazioni sull’accesso e sulle Api, nonché i programmi usati dagli sviluppatori. Questa vulnerabilità avrebbe potuto essere sfruttata per ottenere privilegi all’interno dell’ambiente di DeepSeek senza alcuna protezione. Inoltre, attraverso l’interfaccia di ClickHouse era possibile anche esfiltrare password e file direttamente dal server.
I ricercatori sottolineano l’importanza di riconoscere i rischi legati alla gestione dei dati sensibili nel settore in rapida evoluzione dell’intelligenza artificiale. È necessario applicare pratiche di sicurezza all’altezza di quelle richieste ai fornitori di cloud pubblici e ai principali fornitori di infrastrutture.
FP
