Το Deepseek, η κινεζική εκκίνηση AI που είναι γνωστή για το μοντέλο Deepseek-R1 LLM, έχει εκθέσει δημόσια δύο βάσεις δεδομένων που περιέχουν ευαίσθητες πληροφορίες χρήστη και λειτουργικές πληροφορίες.
Οι μη εξασφαλισμένες περιπτώσεις κλικ, ανέφεραν πάνω από ένα εκατομμύριο καταχωρήσεις καταγραφής που περιείχαν ιστορικό συνομιλίας χρήστη σε μορφή πλάκας, κλειδιά API, λεπτομέρειες backend και λειτουργικά μεταδεδομένα.
Η Wiz Research ανακάλυψε αυτή την έκθεση κατά τη διάρκεια μιας αξιολόγησης ασφαλείας της εξωτερικής υποδομής του Deepseek.
Η εταιρεία ασφαλείας διαπίστωσε ότι δύο δημόσιες προσιτές βάσεις δεδομένων στο OAuth2Callback.deepseek.com:9000 και dev.deepseek.com:9000 που επέτρεψαν αυθαίρετα ερωτήματα SQL μέσω μιας διεπαφής ιστού χωρίς να απαιτούν έλεγχο ταυτότητας.
Οι βάσεις δεδομένων περιείχαν έναν πίνακα “log_stream” που αποθηκεύει ευαίσθητα εσωτερικά αρχεία καταγραφής που χρονολογούνται από τις 6 Ιανουαρίου 2025, που περιέχει:
- Τα ερωτήματα χρήστη στο chatbot του Deepseek,
- Τα κλειδιά που χρησιμοποιούνται από τα συστήματα backend για τον έλεγχο ταυτότητας κλήσεων API,
- Εσωτερικές πληροφορίες υποδομών και υπηρεσιών,
- και διάφορα λειτουργικά μεταδεδομένα.
Πηγή: Wiz
“Αυτό το επίπεδο πρόσβασης δημιουργούσε κρίσιμο κίνδυνο για την ασφάλεια του Deepseek και για τους τελικούς χρήστες του,” Σχόλια Wiz.
“Όχι μόνο ένας εισβολέας θα μπορούσε να ανακτήσει ευαίσθητα αρχεία καταγραφής και πραγματικά μηνύματα συνομιλίας PlainText, αλλά θα μπορούσαν επίσης να εξουδετερώσουν τους κωδικούς πρόσβασης και τα τοπικά αρχεία κατά μήκος των πληροφοριών της ικανότητας απευθείας από το διακομιστή χρησιμοποιώντας ερωτήματα όπως: Επιλέξτε * από το αρχείο (‘filename’) ανάλογα με το κλικ τους διαμόρφωση.”
Πηγή: Wiz
Ο Wiz λέει ότι θα μπορούσε να εκτελέσει πιο ενοχλητικά ερωτήματα, αλλά να περιορίσει την εξερεύνησή του στην απαρίθμηση για να διατηρήσει την έρευνά της μέσα σε ορισμένους ηθικούς περιορισμούς.
Δεν είναι γνωστό αν οι ερευνητές του Wiz ήταν οι πρώτοι που ανακάλυψαν αυτή την έκθεση ή εάν οι κακόβουλοι ηθοποιοί έχουν ήδη επωφεληθεί από την εσφαλμένη διαμόρφωση.
Σε κάθε περίπτωση, ο Wiz ενημέρωσε το Deepseek για το θέμα και η εταιρεία απευθύνθηκε αμέσως στην έκθεση, οπότε οι βάσεις δεδομένων δεν είναι πλέον δημόσιες.
Προβλήματα ασφάλειας του Deepseek
Εκτός από όλες τις ανησυχίες που προκύπτουν από το Deepseek που είναι μια εταιρεία τεχνολογίας με έδρα την Κίνα, που σημαίνει ότι πρέπει να συμμορφώνεται με επιθετικά αιτήματα πρόσβασης δεδομένων από την κυβέρνηση της χώρας, η εταιρεία δεν φαίνεται να έχει δημιουργήσει μια σταθερή στάση ασφαλείας, θέτοντας σε κίνδυνο ευαίσθητα δεδομένα σε κίνδυνο .
Η έκθεση των προτροπών των χρηστών είναι μια παραβίαση της ιδιωτικής ζωής που πρέπει να αφορά πολύ για τους οργανισμούς που χρησιμοποιούν το μοντέλο AI για ευαίσθητες επιχειρηματικές δραστηριότητες.
Επιπλέον, η έκθεση των λεπτομερειών backend και των κλειδιά API θα μπορούσε να δώσει στους επιτιθέμενους έναν τρόπο στα εσωτερικά δίκτυα του Deepseek, στην κλιμάκωση των προνομίων και στις ενδεχομένως παραβιάσεις μεγαλύτερης κλίμακας.
Νωρίτερα αυτή την εβδομάδα, η κινεζική πλατφόρμα στοχεύει σε επίμονες κυβερνοεπιλογές, τις οποίες φάνηκε να μην μπορεί να ανατρέψει, αναγκάζοντάς το να αναστείλει νέες εγγραφές χρηστών για σχεδόν 24 ώρες.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
