Recent onderzoek door het New Yorkse beveiligingsbedrijf Wiz heeft aangetoond dat de databases van DeepSeek, een opkomende AI-startup, vrij toegankelijk waren via het internet. Dit betekent dat gevoelige informatie, zoals gebruikersgesprekken, API-sleutels en operationele details, zonder enige vorm van beveiliging beschikbaar was.
Wat is er gebeurd?
Kort na de lancering van het DeepSeek R1-model ontdekte Wiz een publiek toegankelijke ClickHouse-database die zonder wachtwoord bereikbaar was. Deze database, gehost op oauth2callback.deepseek.com:9000 en dev.deepseek.com:9000, bevatte een enorme hoeveelheid gevoelige data. Bezoekers hoefden niet eens in te loggen om toegang te krijgen tot de databases, en aanvallers konden zonder hindernissen SQL-queries uitvoeren en mogelijk zelfs privileges escaleren binnen de DeepSeek-omgeving.
Gevolgen van het Lek
De gevolgen van dit beveiligingslek zijn aanzienlijk. Naast de blootstelling van privégegevens en logbestanden, speculeert Wiz dat aanvallers met eenvoudige SQL-commando’s nog dieper in de systemen van DeepSeek hadden kunnen doordringen. Hoewel DeepSeek het lek na melding door Wiz heeft gedicht, werpt dit incident wel de nodige vragen op, vooral op het vlak van privacy.
Reactie van DeepSeek
DeepSeek heeft het beveiligingslek inmiddels gedicht, maar de reputatie van het bedrijf heeft een flinke deuk opgelopen. De overheden in Italië en Ierland onderzoeken momenteel hoe DeepSeek omgaat met de persoonlijke gegevens van gebruikers. Om die reden is de DeepSeek-applicatie voor Italiaanse gebruikers ook al uit het App Store- en Play Store-aanbod gehaald.
Conclusie
Dit incident onderstreept de noodzaak voor AI-bedrijven om striktere beveiligingsprotocollen te hanteren en nauw samen te werken met security-experts om gevoelige data te beschermen. Volgens beveiligingsexpert Gal Nagli van Wiz ligt de grootste dreiging niet in futuristische AI-risico’s, maar in fundamentele beveiligingsfouten zoals slecht beschermde databases.
Het volledig artikel kan je hier lezen.
| samenvatting - Copilot 2025 |
Nieuws
