Aggiornamenti recenti Gennaio 31st, 2025 6:46 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- DeepSeek: il top della tecnologia cinese dimentica di chiudere il database esposto
- Trovata una backdoor in due dispositivi cinesi per il monitoraggio dei pazienti
- Vulnerabilità Subaru: il vero problema sono le politiche di gestione dei dati
- Privacy dei dati: la maggior parte degli utenti teme una violazione
- L’IA generativa unifica le interfacce di gestione e migliora la cybersecurity
DeepSeek: il top della tecnologia cinese dimentica di chiudere il database esposto
La rapida ascesa della startup cinese di intelligenza artificiale, DeepSeek, è stata offuscata da una significativa falla di sicurezza che ha esposto tantissimi dati interni e degli utenti, sollevando serie preoccupazioni riguardo alla gestione della sicurezza. Questa vulnerabilità, scoperta dai ricercatori di sicurezza di Wiz, ha interessato un database ClickHouse che era accessibile senza necessità di autenticazione, consentendo a soggetti potenzialmente malevoli di accedere a informazioni cruciali.
Il database ClickHouse, ospitato agli indirizzi oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000, offriva il controllo completo sulle operazioni del database. Ciò comprendeva l’accesso a dati interni, inclusi la cronologia delle chat, chiavi segrete, dettagli del backend, segreti delle API e metadati operativi. La vulnerabilità poteva essere sfruttata tramite l’interfaccia HTTP di ClickHouse, permettendo l’esecuzione di query SQL arbitrarie direttamente attraverso un browser. La mancanza di autenticazione implicava che chiunque fosse a conoscenza dell’indirizzo del database poteva potenzialmente accedervi e sfruttare la falla. I ricercatori hanno identificato oltre un milione di righe di log contenenti dati sensibili. Attraverso l’interfaccia di ClickHouse, era anche possibile sottrarre password e file direttamente dal server.
La falla di sicurezza ha consentito un accesso non autorizzato a un’ampia gamma di informazioni, inclusi dati personali degli utenti e potenziali documenti sensibili aziendali. La mancanza di autenticazione ha reso possibile la completa escalation dei privilegi all’interno dell’ambiente di DeepSeek, senza alcuna difesa. Nonostante DeepSeek abbia risolto la vulnerabilità dopo essere stata contattata dai ricercatori di Wiz, non è dato sapere se i dati siano finiti nelle mani di cybercriminali.
DeepSeek ha agito prontamente per risolvere la falla di sicurezza, con un aggiornamento pubblicato il 29 gennaio 2025, in cui dichiarava di aver identificato il problema (forse anche abbastanza palese) e di essere al lavoro per implementare una soluzione. Tuttavia, questo incidente ci riporta ai tempi dei bucket S3 aperti su AWS, un fenomeno ai tempi così diffuso e pericoloso da costringere Amazon a chiudere di default con password i bucket che venivano creati.
Questa situazione si colloca in un contesto più ampio di preoccupazioni riguardanti la privacy e la sicurezza connesse all’IA. Il Garante della Privacy italiano ha bloccato DeepSeek dopo aver ricevuto informazioni insufficienti sulla gestione dei dati. Il Garante ha inoltre notato che l’azienda ha dichiarato di non operare in Italia e di non essere quindi soggetta alla normativa europea. Anche l’Irish Data Protection Commission (DPC) ha inviato una richiesta simile. Sono anche emersi sospetti di furto di proprietà intellettuale, con accuse secondo cui DeepSeek potrebbe aver utilizzato l’API di OpenAI senza autorizzazione per addestrare i propri modelli, una pratica nota come “distillazione”. Infine, sono state sollevate preoccupazioni riguardo ai legami di DeepSeek con il governo cinese.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti si dicono... -
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
L’IA generativa rivoluziona il cybercrimine e rende... Gli ultimi giorni dell’anno sono da sempre... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
DeepSeek: il top della tecnologia cinese dimentica di... La rapida ascesa della startup cinese di intelligenza... -
Trovata una backdoor in due dispositivi cinesi per il... Pochi giorni fa la CISA ha pubblicato un avviso di... -
Vulnerabilità Subaru: il vero problema sono le politiche... Una ricerca condotta da Sam Curry e Shubham Shah, -
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti...
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
Ransomware: la serie
No posts found.
