DeepSeek-Datenleck: Cyberfirma berichtet über Daten, die im Web exponiert wurden

In einer aktuellen Cybersecurity-Enthüllung sagte die in New York ansässige Cybersecurity-Firma Wiz, dass sie kürzlich eine versehentlich exponierte Datenbank von DeepSeek, einem prominenten chinesischen Unternehmen für künstliche Intelligenz (KI), entdeckt hat, die sensible Daten, einschließlich Chatnachrichten und persönliche Informationen der Nutzer, ins offene Internet leakt.

DeepSeek, 2023 in Hangzhou gegründet, hat aufgrund seiner innovativen Chatbot-Modelle, insbesondere des DeepSeek-R1-Reasoning-Modells, schnell in der KI-Branche an Bedeutung gewonnen.

Dieses KI-Modell wurde für seine Leistung gelobt und rivalisiert mit US-Konkurrenten wie OpenAIs o1, während es weniger Ressourcen nutzt.

In einem Blogbeitrag, der am Mittwoch veröffentlicht wurde, sagte Wiz, dass es eine öffentlich zugängliche ClickHouse-Datenbank im Zusammenhang mit DeepSeek identifiziert hat.

Die exponierte Datenbank erlaubte die vollständige Kontrolle über Datenbankoperationen, einschließlich der Möglichkeit, auf interne Daten zuzugreifen. Sie enthielt über eine Million Zeilen von Protokollströmen, die Chatverläufe, geheime Schlüssel, Backend-Details und andere hochsensible Informationen enthielten.

„Innerhalb von Minuten fanden wir eine öffentlich zugängliche ClickHouse-Datenbank, die mit DeepSeek verknüpft war, völlig offen und nicht authentifiziert, und sensible Daten exponierte. Sie wurde unter oauth2callback.deepseek.com:9000 und dev.deepseek.com:9000 gehostet“, schrieb die Cybersecurity-Firma in ihrem Blogbeitrag.

„Diese Datenbank enthielt ein erhebliches Volumen an Chatverläufen, Backend-Daten und sensiblen Informationen, einschließlich Protokollströmen, API-Geheimnissen und Betriebsdetails.

„Kritischer war, dass die Exposition die vollständige Kontrolle über die Datenbank und potenzielle Privilegieneskalation innerhalb der DeepSeek-Umgebung ermöglichte, ohne jegliche Authentifizierung oder Verteidigungsmechanismus zur Außenwelt.“

Bei der Entdeckung der exponierten Datenbank sagte Wiz’ Mitbegründer Ami Luttwak, dass ihr Forschungsteam das Problem sofort und verantwortungsbewusst an DeepSeek gemeldet hat, das dann schnell die Datenbank sicherte.

„Sie haben sie in weniger als einer Stunde heruntergenommen“, sagte Luttwak. „Aber das war so einfach zu finden, dass wir glauben, dass wir nicht die einzigen sind, die es gefunden haben.“

Obwohl DeepSeek schnell handelte, um das Problem zu beheben, hat diese Entdeckung erhebliche Bedenken hinsichtlich des Datenschutzes und des Potenzials für Missbrauch durch staatliche Stellen aufgeworfen.

DeepSeek hat derzeit die Benutzerregistrierungen aufgrund eines laufenden Cyberangriffs eingeschränkt. Vor nur 2 Tagen war einer anderen Cybersecurity-Firma der Jailbreak von DeepSeek gelungen.

Diese Vorfälle unterstreichen die wachsenden Herausforderungen bei der Gewährleistung von Datensicherheit und Datenschutz, insbesondere mit dem rasanten Fortschritt der KI-Technologien.

DeepSeek hat sich bisher nicht zu dem Thema geäußert.