Uma Violação de dados DeepSeek expôs dados sensíveis de usuários e informações internas da empresa chinesa de inteligência artificial, DeepSeek. Pesquisadores de segurança da Wiz Research descobriram um banco de dados DeepSeek completamente desprotegido na internet.
O que foi exposto na Violação de dados DeepSeek?
O banco de dados ClickHouse exposto continha mais de um milhão de conjuntos de dados, incluindo informações privadas. O vazamento incluiu logs de bate-papo completos, chaves de API internas e detalhes do sistema DeepSeek. A vulnerabilidade permitia controle total sobre tarefas de dados, aumentando o potencial de danos.
O acesso ao banco de dados era possível através dos endereços oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000, sem necessidade de autenticação. Qualquer pessoa com conhecimento técnico básico poderia executar consultas SQL e acessar os dados.
Descoberta da Vulnerabilidade
De acordo com um post do Wiz Research, a equipe de segurança descobriu o banco de dados desprotegido em minutos durante uma verificação de rotina da postura de segurança externa da DeepSeek. A gravidade e a escala do incidente são preocupantes, embora vulnerabilidades desse tipo não sejam incomuns.
Ami Luttwak, CTO da Wiz, descreveu o incidente como um “erro dramático”, devido à facilidade de exploração da vulnerabilidade e ao alto nível de acesso obtido. Ele alertou que os serviços da DeepSeek “não estão maduros o suficiente para uso com dados sensíveis”.
Leia também:
Este evento demonstra os riscos do crescimento rápido da tecnologia de IA. Embora muitos debates sobre segurança em IA se concentrem em danos futuros, os riscos reais geralmente vêm de erros simples, como arquivos de dados abertos. Gal Nagli, especialista em segurança da Wiz, enfatizou a importância de lidar com riscos fundamentais.
A Resposta da DeepSeek à Violação de dados DeepSeek
A DeepSeek agiu rapidamente para resolver o problema, corrigindo a vulnerabilidade dentro de uma hora após ser notificada. No entanto, não está claro se terceiros não autorizados acessaram os dados durante o período em que estava exposto. Este evento pode prejudicar a confiança na DeepSeek, especialmente considerando o recente sucesso de sua ferramenta de IA, DeepSeek-R1.
O vazamento de dados-chave também levanta dúvidas sobre a capacidade da empresa de lidar com informações do usuário e segurança na web. A Violação de dados DeepSeek destaca a importância de uma forte segurança na web para empresas de IA. À medida que as empresas de IA crescem e adicionam novas tecnologias, elas devem priorizar a segurança das informações do usuário para manter sua credibilidade.
Este caso serve como um alerta: quando se trata de segurança na web, a cautela é fundamental. A rápida ascensão de ferramentas de IA, como o ChatGPT, que recentemente enfrentou instabilidades, reforça a necessidade de protocolos rígidos de segurança de dados.
A crescente preocupação com a privacidade de dados, destacada pela Violação de dados DeepSeek, também impacta a maneira como as empresas de tecnologia desenvolvem seus produtos. A demanda por soluções mais seguras e confiáveis está em ascensão, como demonstrado pelo interesse em VPNs, como o AdGuard VPN, que oferece uma solução robusta para privacidade online.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via Gizchina
