Falla di sicurezza DeepSeek è stata scoperta nei sistemi della piattaforma cinese di intelligenza artificiale DeepSeek, esponendo pubblicamente dati sensibili degli utenti e informazioni operative riservate. La vulnerabilità, individuata dagli esperti della società di cybersicurezza Wiz, ha consentito l’accesso a un database non protetto contenente oltre 976.000 righe di log, inclusi messaggi in chiaro, chiavi API e metadati dei server..
Scoperta della falla di sicurezza DeepSeek
IlIl team di ricerca di Wiz ha rilevato che il database di DeepSeek, basato su ClickHouse, era accessibile senza alcuna autenticazione attraverso due porte aperte (8123 e 9000). Utilizzando comandi SQL direttamente dal browser, i ricercatori sono riusciti a consultare il registro log_stream, che conteneva dati altamente sensibili:
- timestamp: registri delle sessioni a partire dal 6 gennaio 2025;
- string.values: cronologia delle chat in testo chiaro, chiavi API, informazioni sui server e metadati;
- _source: dettagli sulla provenienza delle richieste, inclusi directory di sistema e log operativi.
Secondo Gal Nagli, ricercatore di sicurezza cloud presso Wiz, l’esposizione accidentale di database rappresenta un rischio concreto e immediato per la sicurezza dei dati degli utenti. “Mentre molta attenzione sulla sicurezza dell’AI è focalizzata su minacce futuristiche, i pericoli reali derivano spesso da rischi di base, come l’esposizione accidentale di database”, ha dichiarato.
Implicazioni e rischi per gli utenti
Questa falla di sicurezza DeepSeek avrebbe potuto consentire ad attori malevoli di rubare dati personali, compromettere credenziali e persino scaricare file locali dai server di DeepSeek. Non è ancora chiaro se i dati raccolti fossero collegati direttamente agli account degli utenti o se fossero anonimizzati.
DeepSeek, che offre un chatbot AI accessibile via web e app, ha dichiarato nella sua politica sulla privacy di registrare e archiviare tutte le informazioni di utilizzo sui suoi server in Cina. Inoltre, l’app mobile della piattaforma non è disponibile in Italia a causa di restrizioni imposte dal Garante della Privacy, e l’Irlanda sta conducendo un’indagine sull’uso dei dati personali.
DeepSeek risolve il problema, ma senza dichiarazioni ufficiali
Una volta informata della vulnerabilità, DeepSeek ha rapidamente corretto l’errore. Tuttavia, l’azienda non ha ancora rilasciato dichiarazioni ufficiali in merito all’accaduto, alimentando preoccupazioni sulla sua gestione della sicurezza.
L’episodio solleva interrogativi più ampi sulla protezione dei dati nelle piattaforme di intelligenza artificiale e sull’affidabilità di operatori come DeepSeek, che già in passato è stata accusata da OpenAI di aver utilizzato impropriamente modelli GPT per addestrare le proprie reti neurali..
Il caso della falla di sicurezza DeepSeek rappresenta un monito per l’intero settore AI: la sicurezza dei dati non può essere trascurata. L’incidente dimostra che anche aziende con risorse avanzate possono incorrere in errori critici che mettono a rischio la privacy degli utenti. Per questo motivo, è fondamentale implementare misure di protezione robuste e garantire trasparenza nelle comunicazioni con il pubblico.
