DeepSeek-database met gevoelige informatie blijkt vrij toegankelijk
Beveiligingsonderzoekers meldde een vrij toegankelijke database van DeepSeek te hebben ontdekt. De database bevat een grote hoeveelheid gevoelige informatie, die voor onbevoegden toegankelijk was.
Het lek is ontdekt door onderzoekers van beveiligingsbedrijf Wiz Research. Het meldt naar aanleiding van de snelgroeiende populariteit van DeepSeek de AI-dienst nader onder de loep te hebben genomen. "Binnen enkele minuten ontdekt het team een openbaar toegankelijke ClickHouse-database die gekoppeld is aan DeepSeek. De database is volledig open en onbeveiligd, waardoor gevoelige gegevens toegankelijk zijn. Deze staat gehost op oauth2callback.deepseek.com:9000 en dev.deepseek.com:9000", schrijven de onderzoekers.
Chatgeschiedenis en andere gevoelige informatie op straat
De database bevat een grote hoeveelheid chatgeschiedenis, backendgegevens en gevoelige informatie, waaronder logstreams, API-sleutels en operationele details. Ook kunnen kwaadwillenden de volledige controle over de database overnemen. De onderzoekers waarschuwen dat dit kan leiden tot privilege-escalatie binnen de DeepSeek-omgeving, zonder enige vorm van authenticatie of verdedigingsmechanisme tegen externe bedreigingen.
Het probleem is door de onderzoekers van Wiz gemeld bij DeepSeek. CTO en medeoprichter van Wiz Ami Luttwak meldt aan Reuters dat de database binnen een uur offline is gehaald. Meer informatie is hier beschikbaar.
Meer over Security
Over Wouter Hoeffnagel
