Çinli yapay zeka platformu DeepSeek, kullanıcı verilerinin açığa çıkmasına neden olan ciddi bir güvenlik açığıyla gündeme geldi. Uzmanlar, DeepSeek veritabanının dış erişime açık olduğunu keşfetti.
Amerikan siber güvenlik şirketi Wiz, son günlerde büyük çıkş yapan DeepSeek yapay zeka platformunda ciddi bir güvenlik açığı buldu. Uzmanlar tarafından yapılan analiz sonucunda korumasız bir veritabanı keşfedildi. Bu veritabanı, hiçbir parola koruması olmadan herkese açık durumdaydı ve kolayca erişilebiliyordu.Wiz uzmanları, DeepSeek platformunu incelerken iki kritik açık port (8123 ve 9000) tespit etti. Söz konusu portlar herhangi bir şifreleme veya güvenlik önlemi olmadan bir veritabanına doğrudan erişim olanağı tanıyordu. Sadece metin komutları aracılığı ile erişilebilen veritabanında yapılan sorgular neticesinde 976 bin satırdan oluşan log kaydı ortaya çıkarıldı. En dikkat çekici bilgiler şunlardı:
timestamp: 6 Ocak 2025'ten itibaren kullanıcı oturumlarının zaman kayıtları.
string.values: Sohbet geçmişleri, API anahtarları, sunucu verileri ve meta veriler.
_source: Sohbet kayıtlarının, API anahtarlarının, katalog yapılarının ve meta verilerin kaynağı.
DeepSeek yetkilileri sessiz
Wiz araştırmacılarına göre saldırganlar bu açığı kullanarak düz metin formatındaki sohbet mesajları da dahil olmak üzere kullanıcıların hassas verilerini elde edebilir. Ayrıca, şirket sunucularından şifre ve yerel dosyaların çalınması riski de bulunuyor.
Sızan verilerin kullanıcı hesaplarıyla ilişkili olup olmadığı veya anonimleştirilip anonimleştirilmediği konusuda bir bilgi yok. Olayın ortaya çıkmasının ardından güvenlik açığı kapatılmış olsa da, DeepSeek yetkililerinden konuyla ilgili resmi bir açıklama gelmedi.
{{body}}
{{/longBody}} {{^longBody}}{{body}}
{{/longBody}}