Wiz Research ha scoperto una grave falla di sicurezza in DeepSeek, startup cinese specializzata in intelligenza artificiale. Un database ClickHouse accessibile pubblicamente ha esposto oltre un milione di registri contenenti informazioni sensibili, tra cui cronologia chat, chiavi API e dettagli operativi. L’accesso, completamente privo di autenticazione, ha messo a rischio dati interni e la sicurezza degli utenti.
Il team di sicurezza ha individuato la vulnerabilità analizzando i sottodomini pubblici di DeepSeek e rilevando porte aperte non protette. Attraverso l’interfaccia HTTP del database, è stato possibile eseguire query SQL e ottenere un elenco dettagliato delle tabelle disponibili. Tra queste, la tabella “log_stream” conteneva dati sensibili, tra cui timestamp, riferimenti agli endpoint API e registri in testo chiaro.
DeepSeek, nota per il suo modello di intelligenza artificiale DeepSeek-R1, è stata informata tempestivamente della scoperta e ha risolto la vulnerabilità. Tuttavia, l’incidente solleva interrogativi più ampi sulla sicurezza delle infrastrutture AI e sulla protezione dei dati degli utenti. In un settore in rapida evoluzione, le misure di sicurezza devono essere una priorità assoluta per evitare rischi di esposizione e potenziali attacchi informatici.
