DeepSeek : une base de données non protégée expose les conversations des utilisateurs !
Une équipe de chercheurs a mis en évidence un problème de sécurité au sein de DeepSeek : une base de données était accessible, sans authentification, ce qui a pu exposer les données des utilisateurs. Faisons le point.
Une base de données ClickHouse non protégée
Faut-il encore présenter DeepSeek, la nouvelle IA chinoise qui fait énormément parler d'elle depuis quelques jours. Il y a énormément d'informations publiées à son sujet, et cette fois-ci, nous allons évoquer un problème de sécurité relevé par les chercheurs en sécurité de chez Wiz Research.
Une base de données ClickHouse, contenant des informations sensibles sur les utilisateurs ainsi que des données internes, était accessible publiquement sans authentification. En effet, la base de données, hébergée aux adresses oauth2callback.deepseek.com:9000 et dev.deepseek.com:9000, était entièrement ouverte. Les chercheurs expliquent qu'il était possible d’exécuter des requêtes SQL arbitraires directement depuis un navigateur, exposant ainsi un volume considérable de données sensibles.
Parmi les informations accessibles, il y a des données sensibles :
- Historique des conversations : journaux en clair des échanges des utilisateurs avec les modèles d'IA de DeepSeek.
- Clés API : clés secrètes permettant d'accéder aux services de DeepSeek.
- Détails sur l'infrastructure : informations internes sur l'architecture et les opérations de la startup.
- Métadonnées opérationnelles : journaux d'activités et données internes.
Les chercheurs de Wiz Research expliquent qu'ils sont parvenus à identifier cette base de données en analysant la surface d'attaque externe de DeepSeek. "Notre reconnaissance a commencé par l'évaluation des domaines accessibles au public de DeepSeek. En cartographiant la surface d'attaque externe à l'aide de techniques de reconnaissance simples (découverte passive et active de sous-domaines), nous avons identifié environ 30 sous-domaines orientés vers l'internet.", peut-on lire dans le rapport.
Une réaction rapide de la part de DeepSeek
Dès la découverte de cette vulnérabilité, Wiz Research a alerté DeepSeek, qui a rapidement réagi en sécurisant l’accès à la base de données. Fort heureusement, car ces données auraient pu tomber entre de mauvaises mains...! Des attaquants auraient pu récupérer des mots de passe en clair, des fichiers locaux ou encore des informations confidentielles propres à DeepSeek.
Cet incident de sécurité souligne, une fois de plus, l'importance de sécuriser ses environnements, que ce soit pour de la production ou du développement, notamment lorsqu'il s'agit d'une base de données exposée sur Internet.
Suite à son lancement, DeepSeek a également été contraint de limiter les inscriptions suite à une cyberattaque, probablement de type DDoS.
