Deepseeek rời cơ sở dữ liệu với lịch sử trò chuyện, bí mật nội bộ ở nơi công cộng cho bất kỳ ai truy cập
Nhà cung cấp dịch vụ bảo mật đám mây Wiz Research phát hiện một cơ sở dữ liệu công khai chứa khóa bí mật, tin nhắn và thông tin khác của DeepSeeks. Cơ sở dữ liệu này bao gồm lịch sử trò chuyện và bí mật API. Wiz cho biết cơ sở dữ liệu có thể bị kiểm soát hoàn toàn, cho phép thực thi mã mà không có sự giám sát và thao tác dữ liệu theo nhu cầu.
Sau khi thông báo cho DeepSeek về cơ sở dữ liệu, công ty Trung Quốc đã ngay lập tức gỡ bỏ nó và hạn chế quyền truy cập công khai. Cơ sở dữ liệu công khai của DeepSeek cho phép trích xuất mật khẩu dạng văn bản thuần túy từ thông tin bảo mật trực tiếp từ máy chủ. Phát hiện đáng ngạc nhiên của Wiz cho thấy khi rà soát các miền công khai của DeepSeek, họ đã phát hiện một cơ sở dữ liệu ClickHouse có thể truy cập mà không cần xác thực.
Cơ sở dữ liệu này chứa nhiều thông tin thông thường và nhạy cảm, thường chỉ dành cho các nhà điều hành mô hình AI, không phải người dùng hay công chúng. Wiz cho biết có thể thực hiện các lệnh SQL trên cơ sở dữ liệu để thực hiện nhiều thao tác khác nhau. SQL là ngôn ngữ lập trình cơ sở dữ liệu cho phép người dùng truy xuất dữ liệu và thông tin khác bằng cách liên kết các mục khác nhau hoặc thực hiện các thao tác khác.
Công ty an ninh đã chạy một lệnh đơn giản để liệt kê tất cả các bảng trong cơ sở dữ liệu. Lệnh này đã tiết lộ nhiều cơ sở dữ liệu con, trong đó có một cơ sở chứa hơn một triệu bản ghi nhật ký. Bản ghi nhật ký ghi lại tương tác của người dùng với DeepSeek, và theo Wiz, các bản ghi này chứa thông tin về lịch sử trò chuyện, khóa nhận diện người dùng và các chi tiết khác, có thể cho phép kẻ tấn công lấy cắp mật khẩu dưới dạng văn bản và các tệp tin cục bộ cùng thông tin bảo mật khác.
Một bản ghi trò chuyện từ cơ sở dữ liệu DeepSeeks đã được Wiz Research phát hiện. Sự gia tăng phổ biến của chatbot AI và sự xuất hiện đột ngột của DeepSeek trong tháng này đã dấy lên lo ngại mới về quyền riêng tư của AI. Dữ liệu người dùng là vấn đề chính trong lệnh cấm TikTok tại Mỹ khi các nhà lập pháp lo ngại về khả năng các quốc gia nước ngoài thù địch lợi dụng thông tin của hàng triệu người Mỹ. Đối với DeepSeek, Hải quân Hoa Kỳ đã cấm nhân viên sử dụng nền tảng AI này cho công việc hoặc mục đích cá nhân.
Lo ngại về quyền riêng tư dữ liệu và nguồn gốc quốc gia đã là lý do chính cho quyết định của Hải quân. Sau sự phổ biến tăng vọt của DeepSeek, một xem xét kỹ lưỡng chính sách quyền riêng tư bằng tiếng Anh của công ty cho thấy họ xác nhận lưu trữ thông tin trên các máy chủ an toàn tại Trung Quốc. Chính sách cũng nêu rõ công ty có thể thu thập văn bản, âm thanh, tệp tải lên, phản hồi, lịch sử trò chuyện, hoặc nội dung khác mà người dùng cung cấp cho mô hình và dịch vụ của họ.
Luật pháp Trung Quốc yêu cầu tất cả các công ty chia sẻ dữ liệu với chính phủ để phục vụ cho việc thu thập thông tin, gây lo ngại về khả năng lạm dụng dữ liệu. Điều này đã dẫn đến việc ban hành Đạo luật Bảo vệ Người Mỹ khỏi Ứng dụng do Đối thủ Nước ngoài Kiểm soát (PAFACA), yêu cầu TikTok tại Mỹ phải tách khỏi ByteDance của Trung Quốc nếu muốn tiếp tục hoạt động ở Mỹ.
Nguồn: wccftech.com/deepseek-left-database-with-chat-history-internal-secrets-out-in-public-for-anyone-to-access/