Deepseek, la startup d’intelligence artificielle chinoise (IA) tendance, a récemment exposé une de ses bases de données sur Internet, permettant potentiellement un accès non autorisé à des données sensibles. La base de données Clickhouse exposée a fourni un contrôle total sur ses opérations, selon le chercheur de sécurité WIZ Gal Nagli.
Deepseek expose plus d’un million de lignes
L’exposition comprenait plus d’un million de lignes de flux de journaux mettant en vedette l’historique de chat, les clés secrètes, les détails du backend et d’autres informations critiques, telles que les secrets d’API et les métadonnées opérationnelles. Suite aux tentatives de notification de la société de sécurité du cloud, Deepseek a depuis corrigé la vulnérabilité de sécurité.
La base de données, qui était accessible sur oAuth2Callback.deepseek[.]com: 9000 et dev.deepseek[.]com: 9000, a permis aux utilisateurs non autorisés d’exécuter des requêtes SQL arbitraires via le navigateur Web sans nécessiter d’authentification. Il n’est pas clair si des acteurs malveillants ont accédé ou téléchargé les données avant la résolution du problème.
Nagli a souligné les risques d’adoption rapide des services d’IA sans mesures de sécurité adéquates, soulignant que les risques réels proviennent souvent de surveillance de base comme l’exposition accidentelle à la base de données. Il a déclaré: «La protection des données des clients doit rester la priorité absolue pour les équipes de sécurité, et il est crucial que les équipes de sécurité travaillent en étroite collaboration avec les ingénieurs de l’IA pour protéger les données et empêcher l’exposition.»
Deepseek a acquis Attention significative pour ses modèles d’IA open source innovants qui visent à rivaliser avec des systèmes établis comme OpenAI, positionnant son modèle de raisonnement R1 comme un «moment Spoutnik de l’IA». Son chat de l’IA a rapidement grimpé au sommet des classements des magasins d’App sur plusieurs marchés, même si l’entreprise était confrontée à des «attaques malveillantes à grande échelle», ce qui a conduit à une pause temporaire dans les nouvelles inscriptions.
Dans une mise à jour du 29 janvier 2025, Deepseek reconnu Le problème de la base de données et a indiqué qu’il implémente un correctif. Parallèlement, la société fait face à un examen minutieux concernant ses politiques de confidentialité, ses affiliations chinoises soulevant des problèmes de sécurité nationale aux États-Unis.
Dans les développements connexes, les applications de Deepseek sont devenues indisponibles en Italie après le régulateur de protection des données du pays, le Garante, a demandé des informations concernant les pratiques de traitement des données de la startup et ses sources de données de formation. Le retrait des applications du marché italien peut ou non avoir été une réponse directe à ces enquêtes, car la Commission irlandaise de protection des données (DPC) a également fait des demandes d’informations similaires.
Openai et Microsoft sont enquêteur Si Deepseek a utilisé l’interface de programmation d’application d’OpenAI (API) sans autorisation de former ses modèles à travers un processus appelé distillation. Un porte-parole d’OpenAI a déclaré: «Nous savons que les groupes [China] travaillent activement à utiliser des méthodes, y compris ce qui est connu sous le nom de distillation, pour essayer de reproduire les modèles d’IA américains avancés. »
