DeepSeek Veri İhlali: 1 Milyon Kayıt, Sohbet Geçmişi ve Anahtarlar Ortaya Çıktı

Çinli AI şirketi DeepSeek’e ait halka açık bir veri tabanının, özel sohbet geçmişi ve gizli anahtarlar dahil olmak üzere hassas bilgileri sızdırdığı tespit edildi.

Wiz Research’den araştırmacılar, keşfettiler ki, açığa çıkan veritabanına kimse tarafından hiçbir kimlik doğrulaması olmadan erişilebilir, bu da onu potansiyel güvenlik ihlallerine karşı savunmasız hale getirir.

DeepSeek, özellikle maliyet etkin DeepSeek-R1 mantık modeli olmak üzere yenilikçi AI modelleri ile tanınır, yakın zamanda AI sektöründe etkileyici performansıyla dikkat çekti.

Ancak, Wiz Araştırma’nın incelemesi, DeepSeek’in veritabanına tam erişime izin veren endişe verici bir güvenlik açığı ortaya çıkardı. Bu veritabanı, bir milyondan fazla hassas günlük veri satırını içeriyordu.

Veritabanı, oauth2callback.deepseek.com:9000 ve dev.deepseek.com:9000 olmak üzere iki adreste barındırılıyordu ve şirketin halka açık web sitelerinin rutin bir güvenlik kontrolü sırasında keşfedildi.

Veritabanı, hızlı veri işleme için yaygın olarak kullanılan açık kaynaklı bir sistem olan ClickHouse üzerinde çalışıyordu. Ne yazık ki, bu durum verilerin yüksek derecede erişilebilir olmasını ve teknik bilgisi olan herkes tarafından kolayca istismar edilebilir olmasını sağladı.

Veritabanında ifşa olan hassas bilgiler arasında, kullanıcı sohbet geçmişi kayıtları, API anahtarları, arka plan verileri ve hatta iç operasyonel detaylar yer alıyordu. Bu kayıtlar kişisel bilgiler, düz metin sohbet mesajları ve DeepSeek’in iç sistemleri hakkında bilgiler içeriyordu.

Bu tür veriler, saldırganlar tarafından kullanıcı hesaplarına erişmek, şifreleri çalmak veya şirketin operasyonlarıyla oynamak için kullanılabilirdi.

Wiz Research, maruz kalmayı hemen DeepSeek’e bildirdi ve şirket, güvenlik açığını gidermek için hızlı bir şekilde harekete geçti. Bu olay, birçok AI şirketinin, güvenlik endişelerini tam anlamıyla ele almadan hizmetlerini hızla genişletmeye devam ettikleri sürekli riski vurguluyor.

Wiz Research’ün bu keşfi, AI teknolojileri ilerlerken, onları destekleyen altyapının da güvence altına alınması gerektiğini hatırlatıyor. AI şirketleri büyüdükçe ve daha hassas verilerle uğraştıkça, endüstrinin kullanıcıları ve onların bilgilerini maruz kalmadan korumak için uygun güvenlik önlemlerini yerinde sağlaması gerekiyor.