DeepSeek: ricercatori scoprono una falla e la perdita di dati sensibili

Un database accessibile al pubblico appartenente a DeepSeek consentiva l'accesso a dati interni. È una falla scoperta da ricercatori della società di sicurezza Wiz con sede a New York riguardo il software di intelligenza artificiale che ha riacceso la corsa nel settore. Il bug è stato corretto dopo la segnalazione all'azienda cinese, ma non è noto se i dati sono finiti nelle mani dei cybercriminali.

I ricercatori hanno individuato un database che si chiama ClickHouse, collegato a DeepSeek, accessibile da remoto senza autenticazione. Conteneva oltre un milione di informazioni sulla cronologia delle chat, informazioni sull'accesso e sulle Api, i programmi usati dagli sviluppatori.

La vulnerabilità potrebbe essere stata sfruttata per ottenere privilegi all'interno dell'ambiente di DeepSeek senza nessuna autenticazione o meccanismo di difesa. Attraverso l'interfaccia di ClickHouse era possibile anche esfiltrare password e file direttamente dal server.

«Man mano che l'intelligenza artificiale diventa profondamente integrata nelle aziende di tutto il mondo, il settore deve riconoscere i rischi legati alla gestione dei dati sensibili e applicare pratiche di sicurezza alla pari di quelle richieste ai fornitori di cloud pubblici e ai principali fornitori di infrastrutture», sottolineano i ricercatori.