DeepSeek disebut punya celah keamanan yang cukup besar
Peneliti dari Wiz Research menemukan basis data DeepSeek yang dapat diakses publik tanpa autentikasi, mengekspos riwayat obrolan, kunci API, dan detail backend.
Bagi kalian yang saat ini sedang menggunakan DeepSeek, kalian harus waspada. Soalnya, baru-baru ini telah ditemukan sebuah celah keamanan yang cukup besar di teknologi AI tersebut, yang dimana dapat mengungkapkan beberapa data sensitif penggunanya dengan sangat mudah.
Dalam sebuah kabar terbaru, Wiz Research dilaporkan telah menemukan celah keamanan serius pada basis data ClickHouse milik DeepSeek. Dari celah keamanan tersebut, sejumlah besar data sensitif termasuk riwayat obrolan pengguna, kunci API, dan informasi backend dapat diakses siapapun dengan mudah.
“Dalam hitungan menit, kami menemukan basis data ClickHouse yang dapat diakses publik yang terhubung ke DeepSeek, sepenuhnya terbuka dan tidak diautentikasi,” tulis Wiz Research dalam laporan mereka. Basis data ini ditemukan di oauth2callback.deepseek.com:9000 dan dev.deepseek.com:9000.
Para peneliti menemukan dua port terbuka yang tidak biasa (8123 dan 9000) pada server DeepSeek. Port tersebut menyediakan akses ke basis data ClickHouse tanpa autentikasi, memungkinkan siapa saja mengeksekusi kueri SQL langsung melalui antarmuka HTTP.
Setelah menjalankan perintah dasar seperti SHOW TABLES;, para peneliti menemukan lebih dari satu juta entri log, termasuk: