DeepSeek: Σημαντικό κενό ασφαλείας εκθέτει ευαίσθητα δεδομένα!
Ένα σημαντικό κενό ασφαλείας στην κινεζική εταιρεία τεχνητής νοημοσύνης DeepSeek έχει προκαλέσει σοβαρές ανησυχίες σχετικά με την προστασία των δεδομένων και την κυβερνοασφάλεια. Ερευνητές ασφαλείας από την Wiz Research ανακάλυψαν ότι μια βάση δεδομένων της DeepSeek είχε μείνει εντελώς απροστάτευτη στο διαδίκτυο. Αυτό οδήγησε στην έκθεση ευαίσθητων δεδομένων χρηστών και εσωτερικών πληροφοριών της εταιρείας.
Τι Αποκαλύφθηκε;
Η εκτεθειμένη βάση δεδομένων ClickHouse περιείχε περισσότερα από ένα εκατομμύριο σύνολα δεδομένων, με πολύ ευαίσθητα δεδομένα. Η διαρροή περιλάμβανε πλήρη αρχεία συνομιλιών, εσωτερικά κλειδιά API και βαθιά στοιχεία του συστήματος της DeepSeek. Το χειρότερο είναι ότι η βάση δεδομένων έδινε πλήρη έλεγχο επί των εργασιών δεδομένων, κάτι που θα μπορούσε να οδηγήσει σε περισσότερη ζημιά.
Η βάση δεδομένων ήταν προσβάσιμη μέσω των διευθύνσεων oauth2callback.deepseek.com:9000 και dev.deepseek.com:9000, χωρίς να απαιτείται πιστοποίηση. Αυτό σήμαινε ότι οποιοσδήποτε με βασικές τεχνικές γνώσεις μπορούσε να εκτελέσει ερωτήματα SQL και να αποκτήσει πρόσβαση στα δεδομένα.
Πώς Ανακαλύφθηκε η Ευπάθεια;
Σύμφωνα με μια ανάρτηση ιστολογίου της Wiz Research, η ομάδα ασφαλείας ανακάλυψε την απροστάτευτη βάση δεδομένων μέσα σε λίγα λεπτά, ενώ διενεργούσε έναν τακτικό έλεγχο της εξωτερικής στάσης ασφαλείας του DeepSeek. Οι ερευνητές τόνισαν ότι, ενώ τέτοιες ευπάθειες δεν είναι ασυνήθιστες, η κλίμακα και η σοβαρότητα αυτού του περιστατικού είναι ιδιαίτερα ανησυχητικές.
Ο Ami Luttwak, Chief Technology Officer της Wiz, περιέγραψε το περιστατικό ως μια “δραματική γκάφα”, υπογραμμίζοντας τη χαμηλή προσπάθεια που απαιτείται για την εκμετάλλευση της ευπάθειας και το υψηλό επίπεδο πρόσβασης που παρείχε. Προειδοποίησε ότι οι υπηρεσίες της DeepSeek “δεν είναι αρκετά ώριμες για να χρησιμοποιηθούν με ευαίσθητα δεδομένα”. Είπε:
Το γεγονός ότι συμβαίνουν λάθη είναι σωστό. Αλλά αυτό είναι ένα δραματικό λάθος, επειδή στην ουσία δεν κάναμε απολύτως τίποτα για να αποκτήσουμε πρόσβαση!
Αυτό το γεγονός είναι ένα σαφές σημάδι των κινδύνων που συνδέονται με την ταχεία ανάπτυξη της τεχνολογίας AI. Ενώ πολλές συζητήσεις για την ασφάλεια της AI επικεντρώνονται σε μελλοντικούς κινδύνους, οι πραγματικοί κίνδυνοι συχνά προέρχονται από απλά λάθη, όπως ανοιχτά αρχεία δεδομένων. Ο Gal Nagli, ένας ειδικός ασφαλείας στην Wiz, τόνισε επίσης τη σημασία της αντιμετώπισης βασικών κινδύνων. “Οι πραγματικοί κίνδυνοι συχνά προέρχονται από θεμελιώδη ζητήματα—όπως η τυχαία εξωτερική έκθεση βάσεων δεδομένων”, είπε.
Η Απάντηση της DeepSeek
Η DeepSeek ενέργησε γρήγορα για να αντιμετωπίσει το ζήτημα, κλείνοντας την ευπάθεια μέσα σε μια ώρα από την ενημέρωσή της. Ωστόσο, παραμένει ασαφές εάν μη εξουσιοδοτημένοι τρίτοι αποκτήσαν πρόσβαση στα δεδομένα κατά τη διάρκεια που ήταν εκτεθειμένα.
Η υπόθεση της DeepSeek αποτελεί μια ακόμη υπενθύμιση για τη σημασία της κυβερνοασφάλειας στην εποχή της τεχνητής νοημοσύνης. Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, οι εταιρείες που διαχειρίζονται ευαίσθητα δεδομένα θα πρέπει να είναι ιδιαίτερα προσεκτικές ώστε να αποφεύγουν τέτοια περιστατικά, τα οποία όχι μόνο βλάπτουν τη φήμη τους αλλά και θέτουν σε κίνδυνο την ιδιωτικότητα των χρηστών.
Μένει να φανεί πώς θα διαχειριστεί η DeepSeek τις επιπτώσεις αυτής της διαρροής και αν θα προχωρήσει σε μέτρα που θα αποτρέψουν παρόμοια συμβάντα στο μέλλον.
About The Author
