A DeepSeek, uma empresa chinesa de inteligência artificial, se viu no centro de uma grave crise de segurança, após um vazamento de dados que expôs informações sensíveis de seus usuários e dados internos da companhia. Pesquisadores de segurança da Wiz Research descobriram que o banco de dados ClickHouse da empresa foi deixado exposto na internet, sem nenhuma proteção, o que resultou na divulgação de dados confidenciais.
DeepSeek e o vazamento de dados: um alerta sobre segurança
O banco de dados exposto continha mais de um milhão de registros, incluindo logs de bate-papo completos, chaves de API internas e detalhes do sistema da DeepSeek. O mais alarmante foi a possibilidade de controle total sobre as tarefas de dados, o que poderia potencialmente causar danos ainda maiores. O banco de dados estava acessível por meio de endereços como oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000, sem a necessidade de autenticação. Isso permitia que qualquer pessoa com um conhecimento básico de tecnologia pudesse acessar os dados e executar consultas SQL.
Como a vulnerabilidade foi descoberta?
A falha foi descoberta rapidamente pela equipe da Wiz Research, enquanto realizava uma verificação de segurança de rotina nas plataformas externas da DeepSeek. Embora tais incidentes não sejam raros, os pesquisadores destacaram a gravidade da falha, devido ao baixo esforço necessário para explorá-la e ao alto nível de acesso que ela proporcionava.
Ami Luttwak, Diretor de Tecnologia da Wiz, descreveu a exposição como um “erro dramático”, ressaltando o risco de acessos não autorizados. Ele também destacou que os serviços da DeepSeek ainda não estão preparados para lidar com dados sensíveis. “Erros acontecem, mas este foi um erro significativo, pois o esforço para explorá-lo é baixo, e o acesso que ele oferece é alto”, afirmou.
Notícias Relacionadas
Riscos críticos
Falhas no PHP Voyager expõem servidores a riscos de execução remota de código
O pacote PHP Voyager apresenta falhas de segurança críticas que permitem a execução remota de código, colocando servidores em risco de ataques com um clique. As falhas ainda não têm patch disponível.
Cibersegurança em risco
Hackers exploram falhas no SimpleHelp para ataques às redes
Hackers estão aproveitando vulnerabilidades no SimpleHelp RMM para invadir redes, explorando falhas críticas já corrigidas. Atualizar o software ou desinstalá-lo é essencial para proteção.
Riscos da tecnologia de IA: falhas simples podem ser devastadoras
Este incidente destaca os perigos ligados ao rápido crescimento da tecnologia de inteligência artificial. Apesar dos discursos sobre os danos potenciais da IA, as falhas de segurança frequentemente resultam de erros simples, como a exposição acidental de bancos de dados. Gal Nagli, especialista em segurança da Wiz, reforçou que riscos significativos surgem de falhas básicas, como a exposição inadvertida de dados.
Resposta da DeepSeek
Após ser notificada, a DeepSeek agiu prontamente para corrigir a vulnerabilidade, fechando o banco de dados em cerca de uma hora. Contudo, permanece a dúvida sobre se dados foram acessados por terceiros durante o período de exposição. Este incidente prejudica a imagem da empresa, que recentemente ganhou destaque com sua ferramenta de IA DeepSeek-R1, uma tecnologia que rivaliza com o GPT-4 tanto em preço quanto em capacidade.
Impacto na confiança e importância da segurança cibernética
O vazamento levanta sérias questões sobre a capacidade da DeepSeek em proteger informações sensíveis e reforça a importância de uma segurança robusta no universo da IA. À medida que as empresas de tecnologia crescem, elas devem garantir a proteção dos dados de seus usuários para manter a confiança no mercado. Este evento serve como um alerta claro: quando se trata de segurança, a cautela nunca é demais.
