Fuite de données de DeepSeek : une entreprise de cybersécurité signale des données exposées sur le web

Dans une récente révélation en matière de cybersécurité, l’entreprise de cybersécurité basée à New York, Wiz, a déclaré avoir récemment découvert une base de données de DeepSeek, une entreprise chinoise d’intelligence artificielle (IA) de premier plan, exposée par inadvertance, fuyant des données sensibles, y compris des messages de chat et des informations personnelles des utilisateurs, sur Internet ouvert.

DeepSeek, fondée à Hangzhou en 2023, a rapidement gravi les échelons de l’industrie de l’IA grâce à ses modèles de chatbot innovants, en particulier le modèle de raisonnement DeepSeek-R1.

Ce modèle d’IA a été salué pour ses performances, rivalisant avec des homologues américains comme o1 d’OpenAI tout en utilisant moins de ressources.

Dans un article de blog publié mercredi, Wiz a déclaré avoir identifié une base de données ClickHouse accessible au public liée à DeepSeek.

La base de données exposée permettait un contrôle total sur les opérations de la base de données, y compris la possibilité d’accéder aux données internes. Elle contenait plus d’un million de lignes de flux de journaux contenant l’historique des chats, des clés secrètes, des détails en arrière-plan et d’autres informations hautement sensibles.

« En quelques minutes, nous avons trouvé une base de données ClickHouse accessible au public liée à DeepSeek, complètement ouverte et non authentifiée, exposant des données sensibles. Elle était hébergée à oauth2callback.deepseek.com:9000 et dev.deepseek.com:9000 », a écrit l’entreprise de cybersécurité dans son article de blog.

« Cette base de données contenait un volume significatif d’historique de chat, de données en arrière-plan et d’informations sensibles, y compris des flux de journaux, des secrets API et des détails opérationnels.

« Plus critique encore, l’exposition permettait un contrôle total de la base de données et une potentielle élévation de privilèges au sein de l’environnement DeepSeek, sans aucune authentification ou mécanisme de défense vis-à-vis du monde extérieur. »

En découvrant la base de données exposée, le co-fondateur de Wiz, Ami Luttwak, a déclaré que leur équipe de recherche avait immédiatement et de manière responsable divulgué le problème à DeepSeek, qui a ensuite rapidement sécurisé la base de données.

« Ils l’ont retirée en moins d’une heure », a déclaré Luttwak. « Mais c’était si simple à trouver que nous croyons que nous ne sommes pas les seuls à l’avoir trouvée. »

Bien que DeepSeek ait agi rapidement pour corriger le problème, cette découverte a soulevé des préoccupations significatives concernant la confidentialité des données et le potentiel d’abus par des entités gouvernementales.

DeepSeek a actuellement limité les inscriptions des utilisateurs en raison d’une cyberattaque en cours. Il y a seulement 2 jours, une autre entreprise de cybersécurité a réussi à jailbreaker DeepSeek.

Ces incidents soulignent les défis croissants pour garantir la sécurité et la confidentialité des données, en particulier avec l’avancement rapide des technologies de l’IA.

DeepSeek n’a pas encore commenté le problème.