Une faille notable a été découverte dans le système de l’intelligence artificielle de DeepSeek, permettant l’accès à une base de données contenant des informations sensibles, dont l’historique des conversations et des clés d’API secrètes. La vulnérabilité du chatbot a été identifiée par les chercheurs en sécurité de Wiz Research, qui ont trouvé une base de données ClickHouse exposée au public sans aucune authentification.
Le problème réside dans la configuration de la base de données, un système de gestion de bases de données en colonnes utilisé pour l’analyse rapide de grands ensembles d’informations. Cette base de données, hébergée par DeepSeek, était accessible en ligne sans protection, offrant aux attaquants potentiels un accès complet aux opérations de la base, y compris les données dans les journaux, les secrets d’API et d’autres informations sensibles.
Les chercheurs ont découvert plus d’un million de lignes de données non protégées, incluant des informations confidentielles telles que des historiques de conversations et des détails opérationnels. Cette exposition représente un risque considérable, notamment pour la confidentialité des utilisateurs et la sécurité des systèmes internes de l’entreprise.
Il se trouve que les chercheurs n’ont pas pu trouver de contact de sécurité au sein de DeepSeek, ce qui les a poussés à envoyer plusieurs notifications par e-mail avant que la société ne sécurise finalement la base de données. Ce cas met en lumière l’importance d’une gestion rigoureuse de la sécurité, notamment en ce qui concerne les données sensibles et les systèmes d’accès.
