Dopo la possibile violazione della privacy, i ricercatori di Wiz hanno scoperto una grave problema di sicurezza. Un database di DeepSeek era accessibile da Internet e consentiva a tutti di leggere le cronologie delle chat. L’azienda cinese ha corretto la vulnerabilità in poco tempo. Non è noto se i dati sono finiti nelle mani dei cybercriminali.
Stessi problemi di ChatGPT
I ricercatori di Wiz hanno individuato un database ClickHouse, collegato a DeepSeek, accessibile da remoto senza autenticazione. Il database conteneva oltre un milione di record con dati di backend, cronologia delle chat e altre informazioni sensibili, tra cui log e chiavi API.
La vulnerabilità poteva essere sfruttata per ottenere privilegi elevati all’interno dell’ambiente di DeepSeek, senza nessuna autenticazione o meccanismo di difesa. I ricercatori hanno trovato oltre 30 sottodomini, quasi tutti accessibili tramite porte HTTP 80 e 443, che ospitavano l’interfaccia del chatbot, la pagina di stato e la documentazione delle API. Due sottodomini, accessibili tramite porte HTTP 8123 e 9000, portavano invece al database ClickHouse.
Attraverso l’interfaccia di ClickHouse era possibile eseguire query SQL arbitrarie dal browser. Oltre ai suddetti dati era possibile anche esfiltrare password e file direttamente dal server. I ricercatori di Wiz hanno contattato DeepSeek, ma non hanno ricevuto risposte. L’azienda cinese ha tuttavia corretto il bug in meno di un’ora dalla segnalazione.
I problemi di privacy e sicurezza di DeepSeek ricordano quelli di OpenAI. L’azienda californiana aveva temporaneamente sospeso l’accesso a ChatGPT in Italia, dopo l’indagine avviata dal Garante. A causa di un bug erano accessibili i titoli delle conversazioni e i dati di pagamento degli abbonati Pro.