Un’enorme falla di sicurezza ha colpito DeepSeek, azienda cinese specializzata in intelligenza artificiale, mettendo a rischio un database contenente oltre un milione di dati sensibili. A scoprirla sono stati i ricercatori di Wiz, una società di cybersecurity con sede a New York, che hanno individuato l’accessibilità pubblica di un archivio interno di DeepSeek senza alcun meccanismo di protezione.
Database di DeepSeek esposto: milioni di informazioni a rischio
I ricercatori hanno individuato un database collegato a ClickHouse, un software di gestione dei dati utilizzato da DeepSeek, che risultava accessibile da remoto senza autenticazione. L’archivio conteneva:
- Cronologia delle chat degli utenti
- Dati sugli accessi
- Token API usati dagli sviluppatori
Questa vulnerabilità avrebbe potuto permettere a chiunque di ottenere privilegi di amministrazione all’interno dell’ambiente di DeepSeek, senza alcun controllo o protezione. Inoltre, grazie all’interfaccia di ClickHouse, sarebbe stato possibile esfiltrare password e file direttamente dal server, mettendo a serio rischio la sicurezza dei dati.
Come DeepSeek ha risposto alla scoperta della falla
Dopo aver individuato la falla, i ricercatori di Wiz hanno cercato di avvisare DeepSeek attraverso diversi canali, inviando segnalazioni tramite email e LinkedIn ai membri del team aziendale. Nonostante non abbiano ricevuto alcuna risposta ufficiale, il database è stato messo in sicurezza nel giro di mezz’ora.
Tuttavia, rimane un grande punto interrogativo: i dati sono finiti nelle mani di cybercriminali prima della chiusura della falla?. Al momento, non è possibile saperlo con certezza.
Allarme sicurezza nel settore dell’intelligenza artificiale
L’incidente solleva preoccupazioni più ampie sulla sicurezza informatica nel settore dell’intelligenza artificiale. La rapida crescita di DeepSeek, in un mercato sempre più competitivo, non è stata accompagnata da adeguate misure di protezione dei dati.
Gli esperti di Wiz hanno sottolineato che, con l’IA ormai integrata nei processi aziendali di tutto il mondo, è fondamentale che le imprese adottino protocolli di cybersecurity avanzati, paragonabili a quelli utilizzati dai principali fornitori di cloud pubblici e infrastrutture IT.
Il Garante italiano interviene: richiesta di chiarimenti a DeepSeek
Anche l’Italia è intervenuta sulla vicenda. Il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni alle aziende cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, che gestiscono il chatbot DeepSeek.
L’Autorità italiana ha chiesto chiarimenti su:
- Quali dati personali vengono raccolti
- Da quali fonti provengono e per quali finalità
- Se i dati vengono conservati su server in Cina
- Come gli utenti vengono informati sul trattamento dei loro dati
Le due società hanno 20 giorni di tempo per rispondere. Il timore è che DeepSeek stia raccogliendo dati personali senza il consenso informato degli utenti, magari attraverso web scraping o altre tecniche poco trasparenti.
Una lezione sulla sicurezza dei dati
Questa vicenda dimostra quanto sia cruciale una gestione sicura delle informazioni, soprattutto in un settore delicato come l’intelligenza artificiale. Le aziende che operano con enormi quantità di dati devono prevenire le vulnerabilità, garantendo la protezione delle informazioni degli utenti e mantenendo alta la fiducia nei loro servizi.
