Nieuws

DeepSeek-databases waren vrij toegankelijk via internet

Deepseek AI op mobiel
© shutterstock.com / Mojahid Mottakin
De databases achter DeepSeek waren vrij in te kijken via het internet, waardoor heel wat informatie te grabbel werd gegooid.

DeepSeek heeft zich op de kaart gezet met het krachtige en betaalbare R1-model, maar schiet ernstig tekort op het gebied van cybersecurity. Dat blijkt uit onderzoek van het New Yorkse beveiligingsbedrijf Wiz, dat ontdekte dat DeepSeek’s database-infrastructuur totaal niet beveiligd werd.

Groot veiligheidsrisico

Kort na de lancering van het DeepSeek R1-model analyseerde Wiz de beveiliging van het platform. Binnen enkele minuten vonden de onderzoekers een publiek toegankelijke ClickHouse-database die zonder wachtwoord bereikbaar was. Deze database, gehost op oauth2callback.deepseek.com:9000 en dev.deepseek.com:9000, bevatte een enorme hoeveelheid gevoelige data. Daaronder horen onder andere gebruikersgesprekken, API-sleutels en operationele details. Het beste van al? Bezoekers moesten niet eens inloggen om toegang tot de databases te krijgen. Bovendien konden aanvallers zonder hindernissen SQL-queries uitvoeren en mogelijk zelfs privileges escaleren binnen de DeepSeek-omgeving.

De gevolgen van het beveiligingslek zijn aanzienlijk. Naast de blootstelling van privégegevens en logbestanden, speculeert Wiz dat aanvallers met eenvoudige SQL-commando’s nog dieper in de systemen van DeepSeek hadden kunnen doordringen. De onderzoekers testten die hypothese echter niet.

DeepSeek heeft het lek na melding door Wiz gedicht, maar het incident werpt wel de nodige vragen op, vooral op vlak van privacy. Het AI-bedrijf slaat alle gebruikersgegevens op in China. De overheden in Italië en Ierland onderzoeken momenteel hoe DeepSeek omgaat met de persoonlijke gegevens van gebruikers. Om die reden werd de DeepSeek-applicatie voor Italiaanse gebruikers ook al uit het App Store- en Play Store-aanbod gehaald.

Volgens beveiligingsexpert Gal Nagli van Wiz ligt de grootste dreiging niet in futuristische AI-risico’s, maar in fundamentele beveiligingsfouten zoals slecht beschermde databases. Dit incident onderstreept volgens hem de noodzaak voor AI-bedrijven om striktere beveiligingsprotocollen te hanteren en nauw samen te werken met security-experts om gevoelige data te beschermen.

aiDeepSeekprivacy

Gerelateerde artikelen

Volg ons

Lezersaanbod: korting op Kuno (op=op)

Lezersaanbod: korting op Kuno (op=op)

Bekijk de voorraad