Deepseek vystavil internetu nechráněnou databázi s citlivými daty
Čínská generativní AI platforma DeepSeek se tento týden dostala do centra pozornosti díky svému raketovému vzestupu. Její úspěch vyvolal rivalitu s americkými AI společnostmi a zvýšil pozornost upínající se na její služby. Uprostřed tohoto zájmu však vyplul na povrch vážný bezpečnostní problém – podle zjištění cloudové bezpečnostní firmy Wiz měla DeepSeek nechráněnou databázi vystavenou na internetu, čímž došlo k úniku více než 1 milionu záznamů včetně systémových logů, uživatelských dotazů a autentizačních tokenů API.
Kritická bezpečnostní chyba
Wiz zveřejnila své zjištění ve středu 29.1. a uvedla, že databáze byla přístupná komukoliv, kdo se k ní dokázal dostat, což představovalo zásadní bezpečnostní riziko. Tento únik potenciálně umožnil neoprávněný přístup k citlivým informacím, které mohly být zneužity k útokům nebo sledování chování uživatelů.
DeepSeek se dosud k celé události nevyjádřil a bezpečnostní výzkumníci společnosti Wiz sami nevěděli, jak nejlépe firmu kontaktovat. Nakonec rozeslali e-maily a zprávy na všechny dostupné adresy a LinkedIn profily spojené s DeepSeek. Odpověď sice neobdrželi, ale během půl hodiny od jejich kontaktování byla databáze uzamčena a stala se nepřístupnou pro neoprávněné uživatele.
Byla data zneužita?
Zůstává nejasné, zda se k citlivým informacím dostali například hackeři nebo zda byla data stažena oprávněnými osobami. Skutečnost, že databáze byla tak snadno dostupná, však vyvolává obavy o úroveň zabezpečení, kterou DeepSeek poskytuje.
Úniky tohoto druhu mohou mít vážné důsledky, od narušení soukromí uživatelů až po zneužití uniklých dat ke kybernetickým útokům nebo podvodům.
Co tento incident znamená pro AI ekosystém?
Tato bezpečnostní chyba přichází v době, kdy DeepSeek posiluje svou pozici na trhu a čelí přímé konkurenci se západními společnostmi poskytujícími AI. Incident ukazuje, že i rychle rostoucí technologické platformy mohou podcenit kritické aspekty kybernetické bezpečnosti, což může poškodit jejich důvěryhodnost i dlouhodobou udržitelnost.
Zůstává otázkou, zda DeepSeek přijme odpovědnost a implementuje lepší bezpečnostní opatření, nebo zda se podobné incidenty budou opakovat.
