Pesquisadores da Wiz Research descobriram que a startup chinesa DeepSeek, conhecida por desenvolver grandes modelos de linguagem de classe mundial, deixou bancos de dados críticos expostos sem proteção por senha. A falha de segurança permitiu que qualquer pessoa com conhecimento dos endereços dos bancos de dados acessasse informações internas da empresa, incluindo registros de bate-papo de usuários e chaves de acesso à API.
Não houve necessidade de hacking ou técnicas avançadas para explorar a vulnerabilidade. Os desenvolvedores do DeepSeek simplesmente não definiram senhas para instâncias publicamente disponíveis no banco de dados ClickHouse. Isso permitiu que qualquer pessoa realizasse operações completas nos bancos de dados, incluindo leitura, modificação e exclusão de dados.
O que foi exposto?
Os bancos de dados acessíveis publicamente continham:
- Registros de bate-papo de usuários: Conversas e interações dos usuários com os modelos de linguagem da DeepSeek.
- Chaves de acesso à API: Credenciais que poderiam ser usadas para acessar serviços internos da empresa.
- Informações internas da empresa: Dados sensíveis relacionados à infraestrutura e operações da DeepSeek.
Segundo a Wiz Research, a exposição dos bancos de dados poderia ter permitido que invasores ganhassem controle sobre a infraestrutura da DeepSeek. Embora a Wiz Research não tenha explorado essa possibilidade, a empresa alertou os desenvolvedores da DeepSeek, que rapidamente fecharam o acesso aos bancos de dados.
Riscos e consequências
Não está claro se os bancos de dados expostos foram acessados por terceiros mal-intencionados antes do problema ser resolvido. No entanto, a Wiz Research destacou que a descoberta foi feita por meio de uma simples varredura de senhas, o que sugere que a vulnerabilidade poderia ter sido explorada facilmente.
Se explorada, a falha poderia ter permitido que invasores acessassem não apenas os dados dos bancos de dados, mas também arquivos de servidores de inicialização, ampliando significativamente o impacto potencial do vazamento.
Resposta da DeepSeek
Até o momento, representantes da DeepSeek não comentaram publicamente sobre o incidente ou a possível exposição de dados. A empresa ainda não divulgou informações sobre medidas adicionais de segurança para evitar futuros vazamentos.
Contexto do mercado
O incidente ocorre em um momento em que a DeepSeek tem ganhado destaque no mercado global de inteligência artificial. Recentemente, a empresa foi notícia por seu impacto no mercado americano, onde estima-se que a concorrência com a IA chinesa tenha causado perdas de mais de US$ 1 trilhão.
Enquanto a DeepSeek busca consolidar sua posição como líder em modelos de linguagem, a exposição de dados sensíveis pode representar um revés significativo para sua reputação e confiança dos usuários.
Lições de segurança
O caso da DeepSeek serve como um alerta para empresas de tecnologia sobre a importância de implementar medidas robustas de segurança de dados. A falta de senhas em bancos de dados críticos é uma falha básica, mas que pode ter consequências graves, incluindo vazamentos de dados e comprometimento de infraestruturas.
À medida que a DeepSeek e outras empresas de IA continuam a expandir suas operações, a segurança cibernética deve ser uma prioridade máxima para proteger não apenas os dados dos usuários, mas também a integridade de seus sistemas.
Fonte: cenariomt
