Fuite de données de DeepSeek

[Juanito]

Fuite de données de DeepSeek

Récemment, DeepSeek, une entreprise chinoise spécialisée dans l'intelligence artificielle, a été impliquée dans une fuite de données massive après l'exposition non sécurisée de l'une de ses bases de données. La découverte a été faite par les chercheurs en cybersécurité de Wiz, qui ont mis en évidence de sérieux problèmes de protection des informations stockées par la société.



Détails sur la faille
Les chercheurs de Wiz ont identifié une base de données ClickHouse accessible sans authentification, ce qui signifie que toute personne connaissant l’adresse pouvait librement consulter et manipuler les données. Cette base de données était exposée sur les domaines suivants :

• Code :

  oauth2callback.deepseek.com:9000
• Code :

  dev.deepseek.com:9000

L’absence de protection adéquate a permis aux chercheurs d’avoir un accès total aux opérations de la base de données, ce qui inclut la possibilité d’exécuter des requêtes et de récupérer d’importants volumes d’informations sensibles.

Quels sont la nature des données compromises

Parmi les informations exposées, on retrouve :

• Plus d'un million d’enregistrements de conversations des utilisateurs avec l’IA de DeepSeek, contenant potentiellement des informations sensibles.
  
• Des clés API permettant d’accéder à des services internes.
  
• Des informations sur l’infrastructure backend de DeepSeek.
  
• D’autres métadonnées techniques sur l’utilisation du service.
  

L’un des éléments les plus inquiétants est que ces informations étaient stockées en texte clair, sans chiffrement, facilitant leur exploitation par un attaquant potentiel.


Réaction et correction de la faille

Après la découverte et la divulgation responsable de la faille par Wiz, DeepSeek a réagi rapidement pour sécuriser la base de données et empêcher tout accès non autorisé ultérieur. Cependant, il est impossible de savoir si des acteurs malveillants avaient déjà accédé aux données avant cette intervention.

Sources:
https://thehackernews.com/2025/01/deepse...ver-1.html
https://www.wiz.io/blog/wiz-research-unc...abase-leak
https://www.bleepingcomputer.com/news/se...t-records/

[EnZ0]

Franchement... la honte ! Les bases ne sont mêmes pas là, pfff !

Cet incident est particulièrement pertinent car il illustre :
L'importance des bonnes pratiques de sécurisation des bases de données
Les risques liés au stockage de données sensibles
L'impact des failles de sécurité sur la réputation d'une entreprise
Cette fuite de données met en lumière un problème fondamental dans la gestion de la sécurité chez DeepSeek. L'exposition d'une base de données ClickHouse sans authentification est effectivement une erreur basique qui n'aurait JAMAIS dû se produire. C'est vraiment honteux, tout simplement. Aj oui les performances peuvent impressionner pour le coût présumé qu'ils évoquent, mais là ou on peut vraiment juger... Bref...

Ce qui est particulièrement intéressant, c'est que cette faille a eu des répercussions bien au-delà de la simple exposition de données. L'Italie a carrément interdit l'utilisation de DeepSeek sur son territoire, et plusieurs pays comme la France, l'Irlande et la Corée du Sud ont lancé des enquêtes. Quand on sait qu'ils ne respectent pas les règles élémentaires sur les datas personnelles, en sus désormais la sécurité, je pense qu'il est crucial d'agir comme l'Italie.

Pour les développeurs comme les SysAdmin, c'est un excellent exemple de l'importance de la sécurisation des bases de données dès la conception. La possibilité d'exécuter des requêtes SQL directement via l'interface HTTP sans aucune authentification est une faille on ne peut plus critique ! Comment ont ils pu être aussi négligent ???

Le plus inquiétant est que les données étaient stockées en clair, y compris les clés API et les mots de passe. Dans un contexte professionnel, le chiffrement des données sensibles devrait être une pratique standard, et encore plus sur ce genre d'application massivement utilisée et mise en avant dans les médias.

Cette situation soulève aussi des questions sur la gouvernance des données personnelles, particulièrement quand elles sont gérées par des entreprises soumises à des législations très différentes des nôtres...

Un conseil, fuyez DeepSeek... Au premier article sur TISI-FR le concernant, j'évoquais ma peur au sujet des datas, je ne m'attendais pas à autant d'amateurisme. C'est très inquiétant.