Sicurezza compromessa: DeepSeek sotto i riflettori per una grave vulnerabilità nei dati utente

Seguici su Google News

Un recente episodio ha messo in evidenza la vulnerabilità nella sicurezza dei dati dell'azienda cinese di intelligenza artificiale, DeepSeek. Secondo il rapporto pubblicato dalla società di cybersicurezza Wiz, un importante database contenente le conversazioni degli utenti con il chatbot di DeepSeek è risultato accessibile senza alcuna protezione, sollevando interrogativi critici sulla gestione delle informazioni sensibili da parte dell'azienda.

La vulnerabilità scoperta da Wiz

La scoperta, effettuata mercoledì, ha rivelato l'esistenza di un database ClickHouse completamente esposto, privo di autenticazione, gestito da DeepSeek. Questo database non solo accoglieva le conversazioni degli utenti, ma conteneva anche dati operativi riservati, tra cui chiavi API e dettagli di backend che avrebbero potuto cadere nelle mani sbagliate. Wiz ha descritto la situazione come estremamente grave, sottolineando che l’accesso non autorizzato al database avrebbe potuto portare a un controllo completo del sistema e a un potenziale incremento dei privilegi.

I ricercatori di Wiz hanno evidenziato, nel loro comunicato, la rapidità con cui sono stati in grado di identificare il database aperto. Questo fatto mette in luce l'urgenza di misure di sicurezza più rigorose per tutelare le informazioni sensibili degli utenti in un'epoca in cui i dati personali rappresentano un target privilegiato per i cyber attaccanti.

Il rischio di accesso ai dati sensibili

Utilizzando l'interfaccia HTTP di ClickHouse, gli esperti di Wiz sono riusciti a effettuare QUERY SQL arbitrarie direttamente dal loro browser. L'accesso a diverse tabelle di dati sensibili è amplificato dalla presenza di una tabella specifica, chiamata log_stream, che racchiude oltre un milione di registrazioni. Queste contenevano informazioni dettagliate, tra cui timestamp, endpoint API, registri delle chat in chiaro e altri dati operativi.

L'analisi ha mostrato che, in base alla configurazione di ClickHouse, era teoricamente possibile per un attaccante appropriarsi di password in chiaro, file locali e informazioni proprietarie semplicemente eseguendo il comando SQL corretto. Tuttavia, Wiz ha chiarito che durante la propria indagine non sono state effettuate operazioni del genere per non compromettere ulteriormente la sicurezza del sistema.

La risposta di DeepSeek e le implicazioni legali

Dopo essere stata informata della situazione, DeepSeek ha rapidamente intervenuto per risolvere la falla di sicurezza, dimostrando una certa reattività in un contesto di crescente preoccupazione verso la protezione dei dati personali. L'azienda offre modelli di intelligenza artificiale accessibili gratuitamente tramite web e app, insieme a un'API a pagamento, con una politica sulla privacy che manifesta chiaramente il suo impegno a registrare e memorizzare le informazioni di utilizzo sui server situati in Cina.

Tuttavia, DeepSeek ha dovuto affrontare una realtà complessa in Italia, dove l'app mobile non è disponibile a causa delle restrizioni imposte dall'autorità garante della privacy, sollevando interrogativi sull'utilizzo dei dati personali. Inoltre, è in corso un'indagine da parte delle autorità irlandesi, il che suggerisce che la questione della protezione dei dati all'interno dell'azienda meriti ulteriori approfondimenti.

Le critiche da OpenAI e il futuro della sicurezza nei sistemi AI

Nonostante l'immediata reazione di DeepSeek, l'azienda si trova al centro di controversie più ampie. OpenAI ha accusato DeepSeek di aver fatto un uso improprio dei suoi modelli di linguaggio GPT per creare materiale di addestramento per le reti neurali interne. Questo sviluppo non fa altro che accrescere le preoccupazioni su come le aziende tecnologiche gestiscano le questioni relative ai diritti d'autore e all'uso etico dell'intelligenza artificiale.

La situazione attuale rischia di rivelare non solo le falle nei sistemi di sicurezza individuali, ma anche di mettere in discussione la fiducia del pubblico nei confronti delle tecnologie di intelligenza artificiale. Le aziende come DeepSeek saranno costrette ad adottare misure di protezione dei dati sempre più rigorose per garantire che eventi simili non si ripetano e per proteggere gli utenti da possibili violazioni della privacy.

Seguici su Telegram per ricevere le migliori offerte tech
Argomenti:

Chi siamo?

OutOfBit è un progetto nato nel Maggio 2013 da un’idea di Vittorio Tiso e Khaled Hechmi. Il progetto nasce per creare un sito di blogging che sappia differenziarsi ed appagare il lettore al fine di renderlo parte fondamentale del blog stesso.
Entra nello staff
COPYRIGHT © 2023 OUTOFBIT P.IVA 04140830243, TUTTI I DIRITTI RISERVATI.
crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram