Offene Türen für Hacker: DeepSeek ließ vertrauliche Daten im Netz ungeschützt

Forscher von Wiz Research haben eine offene ClickHouse-Datenbank entdeckt, die über eine Million Datensätze mit vertraulichen Benutzerinformationen des chinesischen KI-Assistenten DeepSeek enthielt. Öffentlich zugänglich waren unverschlüsselte Chats, geheime Schlüssel, Protokolle sowie Backend- und Serverdaten.

„Wir haben die öffentliche Infrastruktur von DeepSeek untersucht und eine Datenbank gefunden, die keinerlei Authentifizierung erforderte. "Das bedeutete, dass jeder Zugriff auf Protokolle mit echten Chat-Nachrichten, internen Geheimnissen und Systemdaten erhalten konnte“, erklärten die Spezialisten von Wiz Research.

Nach der Entdeckung der Schwachstelle informierte das Wiz-Team umgehend DeepSeek, woraufhin das Unternehmen den Zugriff einschränken und die Datenbank aus dem Internet entfernte.

Datenschutzrichtlinie in Frage gestellt

Es stellte sich heraus, dass die ClickHouse-Datenbank auf den Servern oauth2callback.deepseek.com: 9000 und dev.deepseek.com:9000 zugänglich war. Der Vorfall wirft ernsthafte Zweifel an den Datenschutzmaßnahmen auf, die DeepSeek angibt. Laut der Datenschutzrichtlinie des Unternehmens werden alle Benutzerdaten auf sicheren Servern in China gespeichert. Experten fanden jedoch heraus, dass persönliche Benutzerinformationen – einschließlich IP-Adressen, Protokolle, Gerätedaten, Cookies, Absturzberichte sowie Muster und Rhythmen von Tastenanschlägen – auch nach der Löschung eines Kontos auf den Servern von DeepSeek verbleiben.

Das Unternehmen Wiz Research, das seit 2020 auf Cybersicherheit spezialisiert ist, setzt seine Überwachung von Cloud-Diensten auf Schwachstellen fort. Unterdessen wirft der Fall DeepSeek erneut Fragen zur Sicherheit personenbezogener Daten in KI-Diensten auf.