Os pesquisadores da Wiz Research descobriram uma vulnerabilidade crítica no sistema DeepSeek – um banco de dados acessível publicamente que é um banco de dados de histórico de bate-papo acessível publicamente, Chaves de API e detalhes de back-end. Isso é relatado por IZ com referência ao Wiz.
Vazamento de dados sem proteção
A equipe da Wiz Research, ao analisar a segurança cibernética da startup chinesa de IA DeepSeek, encontrou um banco de dados ClickHouse disponível publicamente. Ele estava completamente desprotegido e permitia que qualquer operação fosse realizada sem autenticação. A base estava localizada em dois endereços:
- oauth2callback.deepseek.com:9000
- dev .deepseek.com:9000
De acordo com especialistas, o vazamento continha histórico de bate-papo dos usuários, chaves secretas, solicitações internas de API e outros detalhes operacionais importantes. Além disso, o acesso aberto permitiu o controle total sobre o banco de dados, o que criou riscos significativos à segurança dos dados.
dados do sistema DeepSeek. 
Como os pesquisadores descobriram a vulnerabilidade
Os especialistas da Wiz Research começaram a analisar domínios públicos do DeepSeek usando métodos de detecção de subdomínios passivos e ativos. Eles encontraram cerca de 30 subdomínios, a maioria dos quais não representava uma ameaça séria.
No entanto, uma análise mais aprofundada das portas abertas revelou atividade incomum nas portas 8123 e 9000, levando os pesquisadores a um banco de dados ClickHouse desprotegido. Graças à consulta SQL padrão SHOW TABLES; Eles obtiveram uma lista de tabelas e encontraram uma seção particularmente vulnerável chamada log_stream.
Esta tabela continha mais de um milhão de logs, incluindo:
- Tags temporárias – Datas e horários de gravação a partir de 6 de janeiro de 2025
- Solicitações de API– Chamadas internas para a API DeepSeek
- Conteúdo do log – Mensagens de texto simples, incluindo histórico de bate-papo e informações confidenciais
- Solicitar dados de origem – Informações sobre fontes de log e interações do usuário com serviços DeepSeek. , que extrai quase 976 mil linhas de log do banco de dados DeepSeek em apenas alguns minutos.
Potenciais ameaças
A falta de autenticação permitiu que invasores obtivessem acesso a dados confidenciais ou até mesmo alterassem informações no banco de dados. No pior cenário, isso poderia ter resultado em um vazamento em larga escala de conversas privadas de usuários ou em um comprometimento dos sistemas da DeepSeek.
A equipe da Wiz Research relatou o problema de forma responsável à empresa, após o que a DeepSeek fechou imediatamente o acesso ao banco de dados.
Este incidente provou mais uma vez que o rápido desenvolvimento de serviços de IA muitas vezes ultrapassa a implementação de medidas de segurança adequadas. Embora o foco das discussões sobre segurança de IA esteja em ataques cibernéticos sofisticados, as ameaças mais críticas geralmente surgem de erros básicos, como a abertura acidental de bancos de dados.
As empresas de IA precisam prestar mais atenção à segurança cibernética, afinal, elas processar grandes quantidades de dados confidenciais. Envolver especialistas em segurança durante a fase de desenvolvimento do produto deve se tornar um padrão em todo o setor para evitar incidentes semelhantes no futuro. >
Source