DeepSeek eksponerer følsomme data

Eskil Sørensen

02.03.2025 14:32

Over en million loglinjer med API-nøgler og backend-detaljer lækket.

Det kinesiske AI-startup DeepSeek har efterladt en af sine databaser ubeskyttet på internettet, hvilket har afsløret følsomme oplysninger såsom API-hemmeligheder, chat-historik og operationelle metadata.

Sådan fremgår det af en artikel i The Hacker News.

Eksponeret database med kritiske oplysninger

Den eksponerede database indeholdt efter det oplyste mere end en million loglinjer, der omfattede chat-anmodninger, API-nøgler, autentificeringsoplysninger og backend-detaljer. Databasen var offentligt tilgængelig via DeepSeek’s servere uden krav om autentificering, hvilket kunne give ondsindede aktører fuld adgang til virksomhedens systemer.

Den manglende autentificering gjorde det muligt at tilgå databasen direkte via en webbrowser og udføre vilkårlige SQL-forespørgsler.

Mulig risiko for misbrug

Uautoriseret adgang til sådanne data kan føre til omfattende misbrug, herunder kompromittering af brugerdata, systemnedbrud og potentielt spionage. Det er dog uklart, om ondsindede aktører har udnyttet sårbarheden, men Wiz har ifølge Hacker News advaret DeepSeek. Efterfølgende er adgangen blevet lukket.

Kritiske spørgsmål om datasikkerhed

DeepSeek har i stigende grad mødt kritik for sin håndtering af datasikkerhed og privatlivspolitikker. Virksomheden har midlertidigt stoppet nye registreringer af sin chatbot-tjeneste på grund af "storskala ondsindede angreb".

Samtidig har DeepSeek fået øget regulatorisk opmærksomhed i Europa, hvor italienske og irske datatilsynsmyndigheder har anmodet om oplysninger om virksomhedens databehandling. Derudover undersøger OpenAI og Microsoft, om DeepSeek ulovligt har brugt OpenAI’s API til at træne sine egne modeller.

Og moralen er..

Sikkerhedsresearchere understreger det vigtige i at have strenge autentificerings- og adgangskontrolforanstaltninger for databaser. Det gælder især i AI-sektoren, hvor store datamængder håndteres. DeepSeeks sikkerhedsbrist viser, hvor hurtigt følsomme oplysninger kan eksponeres, hvis grundlæggende sikkerhedsforanstaltninger ikke er på plads, hedder det i The Hacker News.

Læs mere

https://thehackernews.com/2025/01/deepseek-ai-database-exposed-over-1.html

Information