Chińska firma DeepSeek, która rozwija systemy sztucznej inteligencji, wpadła w poważne tarapaty.
Eksperci odkryli, że firma nie zabezpieczyła swojej bazy danych, gdzie trzymała prywatne informacje użytkowników. Wystarczyło znać adres serwera, by zajrzeć do środka – bez hasła czy logowania.
To nie jest drobna wpadka. W niezabezpieczonej bazie ClickHouse leżało ponad milion wpisów z prywatnymi rozmowami użytkowników, danymi technicznymi i – co gorsza – kluczami dostępu do systemu. Mówiąc prościej – było tam wszystko, co hakerzy mogliby wykorzystać do włamań i kradzieży danych.
Specjaliści z firmy Wiz natknęli się na ten problem przypadkiem. Po tym jak DeepSeek wypuścił swój nowy model AI o nazwie R1, postanowili przyjrzeć się bliżej ich systemom. Znaleźli cztery niezabezpieczone adresy serwerów:
- http[:]//oauth2callback.deepseek[.]com:8123
- http[:]//dev.deepseek[.]com:8123
- http[:]//oauth2callback.deepseek[.]com:9000
- http[:]//dev.deepseek[.]com:9000
Każdy z tych adresów prowadził do tej samej bazy danych. Co więcej, można było nie tylko czytać informacje, ale też wysyłać własne zapytania do systemu.
Kiedy eksperci zgłosili problem, DeepSeek szybko zablokował dostęp do bazy. Nie wiadomo jednak, czy ktoś zdążył skopiować dane zanim firma naprawiła błąd. To pokazuje większy problem – firmy technologiczne często tak się spieszą z wypuszczaniem nowych produktów, że zapominają o podstawowych zasadach bezpieczeństwa.
Jak się chronić przed takimi wyciekami? Przede wszystkim trzeba być ostrożnym z tym, co wysyłamy do chatbotów i innych usług AI. Nigdy nie wiadomo, czy nasze dane są odpowiednio chronione. Warto też:
- Nie przesyłać poufnych informacji przez aplikacje internetowe.
- Sprawdzać, jak firmy dbają o prywatność użytkowników.
- Używać programów do szyfrowania danych.
- Korzystać z menedżerów haseł zamiast zapisywać je w plikach.
Ta sytuacja to przestroga dla wszystkich!
Nawet duże firmy technologiczne mogą popełniać podstawowe błędy w zabezpieczeniach. A kiedy już do tego dojdzie, cierpią zwykli użytkownicy, których prywatne dane mogą wpaść w niepowołane ręce.
