Aggiornamenti recenti Luglio 14th, 2025 4:57 PM
Gen 31, 2025 Redazione In evidenza, Minacce, News, RSS, Vulnerabilità 0
La rapida ascesa della startup cinese di intelligenza artificiale, DeepSeek, è stata offuscata da una significativa falla di sicurezza che ha esposto tantissimi dati interni e degli utenti, sollevando serie preoccupazioni riguardo alla gestione della sicurezza. Questa vulnerabilità, scoperta dai ricercatori di sicurezza di Wiz, ha interessato un database ClickHouse che era accessibile senza necessità di autenticazione, consentendo a soggetti potenzialmente malevoli di accedere a informazioni cruciali.
Il database ClickHouse, ospitato agli indirizzi oauth2callback.deepseek.com:9000
e dev.deepseek.com:9000
, offriva il controllo completo sulle operazioni del database. Ciò comprendeva l’accesso a dati interni, inclusi la cronologia delle chat, chiavi segrete, dettagli del backend, segreti delle API e metadati operativi. La vulnerabilità poteva essere sfruttata tramite l’interfaccia HTTP di ClickHouse, permettendo l’esecuzione di query SQL arbitrarie direttamente attraverso un browser. La mancanza di autenticazione implicava che chiunque fosse a conoscenza dell’indirizzo del database poteva potenzialmente accedervi e sfruttare la falla. I ricercatori hanno identificato oltre un milione di righe di log contenenti dati sensibili. Attraverso l’interfaccia di ClickHouse, era anche possibile sottrarre password e file direttamente dal server.
La falla di sicurezza ha consentito un accesso non autorizzato a un’ampia gamma di informazioni, inclusi dati personali degli utenti e potenziali documenti sensibili aziendali. La mancanza di autenticazione ha reso possibile la completa escalation dei privilegi all’interno dell’ambiente di DeepSeek, senza alcuna difesa. Nonostante DeepSeek abbia risolto la vulnerabilità dopo essere stata contattata dai ricercatori di Wiz, non è dato sapere se i dati siano finiti nelle mani di cybercriminali.
DeepSeek ha agito prontamente per risolvere la falla di sicurezza, con un aggiornamento pubblicato il 29 gennaio 2025, in cui dichiarava di aver identificato il problema (forse anche abbastanza palese) e di essere al lavoro per implementare una soluzione. Tuttavia, questo incidente ci riporta ai tempi dei bucket S3 aperti su AWS, un fenomeno ai tempi così diffuso e pericoloso da costringere Amazon a chiudere di default con password i bucket che venivano creati.
Questa situazione si colloca in un contesto più ampio di preoccupazioni riguardanti la privacy e la sicurezza connesse all’IA. Il Garante della Privacy italiano ha bloccato DeepSeek dopo aver ricevuto informazioni insufficienti sulla gestione dei dati. Il Garante ha inoltre notato che l’azienda ha dichiarato di non operare in Italia e di non essere quindi soggetta alla normativa europea. Anche l’Irish Data Protection Commission (DPC) ha inviato una richiesta simile. Sono anche emersi sospetti di furto di proprietà intellettuale, con accuse secondo cui DeepSeek potrebbe aver utilizzato l’API di OpenAI senza autorizzazione per addestrare i propri modelli, una pratica nota come “distillazione”. Infine, sono state sollevate preoccupazioni riguardo ai legami di DeepSeek con il governo cinese.
Giu 30, 2025 0
Giu 27, 2025 0
Giu 26, 2025 0
Giu 24, 2025 0
Lug 14, 2025 0
Lug 14, 2025 0
Lug 11, 2025 0
Lug 10, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 14, 2025 0
I ricercatori di AG Security Research hanno individuato una...Lug 14, 2025 0
Nel corso di questa settimana, il CERT-AGID ha individuato...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Una grave falla di sicurezza ha trasformato una sessione...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...