DeepSeek a exposé l'historique des conversations et d'autres données sensibles, selon les chercheurs en sécurité.

Dans une grave faille de sécurité, le chatbot chinois DeepSeek a exposé l'historique des conversations et d'autres données sensibles dans une base de données accessible sans authentification.

Les chercheurs en sécurité qui ont découvert le problème affirment que l'exposition comprenait plus d'un million de lignes d'entrées de journal, qui incluaient l'historique des conversations et les clés secrètes…

Plus tôt aujourd'hui, nous avons mentionné que DeepSeek faisait l'objet d'une enquête tant en Europe qu'aux États-Unis concernant des préoccupations liées à la vie privée et à la sécurité nationale. L'application – qui reste au sommet de l'App Store d'Apple – a été retirée en Italie après que le régulateur de protection des données du pays a exprimé ses inquiétudes, une mesure susceptible d'être répétée dans d'autres pays.

En plus des risques créés par les politiques et pratiques de confidentialité de l'entreprise, des chercheurs en sécurité ont découvert une importante faille de sécurité. Wiz Research décrit ce qu'il a trouvé.

La société Wiz Research a identifié une base de données ClickHouse accessible publiquement appartenant à DeepSeek, qui permet un contrôle total des opérations de la base de données, y compris l'accès aux données internes. L'exposition comprend plus d'un million de lignes de flux journaliers […]

En quelques minutes, nous avons trouvé la base de données complètement ouverte et non authentifiée, exposant des données sensibles, y compris un volume important d'historique de conversation, de données du back-end et d'informations sensibles, telles que les flux de journalisation, les secrets d'API et les détails opérationnels.

Le problème était que l'entreprise avait créé une base de données ClickHouse sans aucune authentification.

ClickHouse est un système de gestion de bases de données open source, basé sur des colonnes, conçu pour des requêtes analytiques rapides sur de grands ensembles de données. Développé par Yandex, il est largement utilisé pour le traitement en temps réel des données, le stockage des journaux et l'analyse de données massives, ce qui indique une exposition très précieuse et sensible.

C'est dans l'un de ces jeux de données, log_stream, que les données sensibles ont été trouvées.

Wiz n'a pas pu trouver de contact sécurité à informer et a donc fini par envoyer un courriel à toutes les adresses email qu'il a pu trouver pour l'entreprise afin de divulguer ses conclusions. DeepSeek a ensuite sécurisé la base de données.

• La confidentialité de DeepSeek fait l'objet d'une enquête aux États-Unis et en Europe ; elle a été retirée de l’App Store en Italie.
• Les actions d'Apple (AAPL) ont augmenté de 3 % suite à l'annonce de DeepSeek, tandis que les autres actions technologiques baissaient.
• Trois façons dont Apple bénéficie désormais du succès précoce de l'IA de DeepSeek
• DeepSeek de Chine atteint la première place sur l'App Store, choque les chercheurs en IA et fait chuter les actions des entreprises technologiques américaines."
• Opérateur ChatGPT, citations Claude, DeepSeek R1

Photo par Steve Johnson sur Unsplash.