De Chinese AI-app DeepSeek heeft door een beveiligingsfout een belangrijke database open laten staan waardoor die voor iedereen toegankelijk was. Dat ontdekte het cybersecuritybedrijf Wiz Research. De database bevatte een aanzienlijke hoeveelheid chatgeschiedenis, backend-gegevens en gevoelige informatie, waaronder logstreams, API-geheimen en operationele details. Het lek is inmiddels gedicht.
We horen de laatste dagen veel over DeepSeek, de concurrent van OpenAI (bekend van ChatGPT). De Chinese AI-startup kreeg veel media-aandacht vanwege zijn baanbrekende AI-modellen, met name het DeepSeek-R1-redeneermodel. Dit model wedijvert qua prestaties met toonaangevende AI-systemen zoals OpenAI's o1 en onderscheidt zich door zijn kosteneffectiviteit en efficiëntie.
Toen DeepSeek furore maakte in de AI-ruimte, ging het Wiz Research-team er even voor zitten om de beveiliging te bekijken en mogelijke kwetsbaarheden te identificeren. Binnen enkele minuten vond het bedrijf een openbaar toegankelijke ClickHouse-database die was gekoppeld aan DeepSeek waardoor gevoelige gegevens konden worden ingezien. Deze database bevatte een aanzienlijke hoeveelheid chatgeschiedenis, backend-gegevens en gevoelige informatie, waaronder logstreams, API-geheimen en operationele details.
Na een waarschuwend mailtje van Wiz Research aan DeepSeek werd het beveiligingslek binnen een half uur gedicht.
Meer weten?