L’intelligenza artificiale continua a rivoluzionare il nostro modo di interagire con la tecnologia, ma la sicurezza dei dati resta una delle principali preoccupazioni. DeepSeek è ora al centro di un grave scandalo sulla privacy: una falla di sicurezza ha esposto cronologia chat, chiavi API segrete e altri dati sensibili senza alcuna protezione.
La scoperta arriva dal team di ricerca Wiz Research, che ha individuato un database pubblico di DeepSeek privo di qualsiasi forma di autenticazione. Questo ha permesso di accedere a oltre un milione di righe di log, contenenti informazioni riservate come:
- Conversazioni private tra utenti e AI
- Dati interni del backend
- Chiavi API segrete, fondamentali per l’operatività del chatbot
- Informazioni tecniche riservate sull’infrastruttura
Tutto questo era accessibile senza alcuna protezione, una falla di sicurezza talmente grave che qualsiasi malintenzionato avrebbe potuto intercettare e sfruttare i dati in pochi secondi.
Il database in questione è basato su ClickHouse, un potente sistema di gestione dati open-source utilizzato per elaborare enormi volumi di informazioni in tempo reale. Tuttavia, il team di DeepSeek avrebbe lasciato il database totalmente aperto, senza richiedere alcun tipo di autenticazione per l’accesso.
Questo episodio arriva in un momento già complicato per DeepSeek, che è sotto indagine in Europa e negli Stati Unitiper possibili violazioni della privacy e rischi per la sicurezza nazionale.
Dopo le prime segnalazioni, il Garante della Privacy italiano ha chiesto chiarimenti a Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, le società dietro il chatbot. In seguito a questa richiesta, l’app è stata rimossa dagli store di Apple e Google in Italia.
Negli Stati Uniti, invece, l’app continua a essere disponibile, ma è al centro di forti discussioni su privacy e sicurezza dei dati.
Secondo Wiz Research, il team di DeepSeek ha chiuso l’accesso pubblico al database solo dopo che i ricercatori hanno provato a contattare l’azienda in tutti i modi possibili, arrivando addirittura a spedire email a ogni indirizzo disponibileper segnalare la falla.
Un comportamento che solleva parecchie perplessità: perché una società che gestisce milioni di dati non ha un team di sicurezza attivo pronto a risolvere questi problemi in tempi rapidi?
Cosa ne pensate?
News