Un database vulnerabile svela i problemi di sicurezza di DeepSeek

Negli ultimi giorni, la startup cinese di intelligenza artificiale DeepSeek è salita alla ribalta grazie al suo chatbot innovativo, suscitando interesse e preoccupazioni a livello globale. Tuttavia, recenti scoperte hanno evidenziato gravi falle nella sicurezza dei dati degli utenti, accendendo nuovi dibattiti sulla protezione della privacy e sulla sicurezza informatica.

La scoperta del database esposto

Il 29 gennaio 2025, un gruppo di ricercatori della società di sicurezza cloud Wiz ha rivelato che DeepSeek aveva lasciato uno dei suoi database critici accessibile pubblicamente su internet. Questo database conteneva oltre un milione di informazioni sensibili, inclusi:


  • Log di sistema
  • Prompt degli utenti
  • Token di autenticazione delle API


La facilità con cui era possibile accedere a questi dati solleva seri dubbi sulla maturità del servizio nel gestire informazioni sensibili. Secondo Ami Luttwak, direttore tecnico di Wiz, "è vero che gli errori capitano, ma questo è un errore drammatico, perché con uno sforzo molto limitato abbiamo avuto un livello di accesso molto alto".

Reazioni e misure adottate

Nonostante DeepSeek non disponga di un reparto di comunicazione ufficiale, i ricercatori di Wiz hanno tentato di contattare l'azienda attraverso vari canali, inclusi indirizzi email e profili LinkedIn associati. Sebbene non abbiano ricevuto una risposta diretta, entro mezz'ora dalla loro comunicazione, il database è stato reso inaccessibile agli utenti non autorizzati. Non è chiaro se attori malintenzionati abbiano avuto accesso o abbiano scaricato i dati prima della chiusura del database.

Implicazioni per la sicurezza

La scoperta di questo database esposto evidenzia una problematica comune nel panorama tecnologico odierno: la vulnerabilità dei sistemi basati su cloud a causa di configurazioni errate o negligenze nella sicurezza. La facilità con cui i ricercatori hanno individuato il database di DeepSeek suggerisce una mancanza di attenzione alle pratiche di sicurezza fondamentali.

Il ricercatore di sicurezza indipendente Jeremiah Fowler ha commentato: "Dal punto di vista della sicurezza è piuttosto scioccante costruire un modello di intelligenza artificiale e lasciare una backdoor spalancata". Questo tipo di vulnerabilità rende i dati degli utenti facilmente accessibili a soggetti terzi, con il rischio di furti di identità, utilizzo fraudolento delle API e altre attività illecite.

Indagini in corso e preoccupazioni globali

Oltre alle problematiche di sicurezza, DeepSeek è sotto esame per altre questioni. Il Garante per la protezione dei dati personali in Italia ha inviato una richiesta di informazioni all'azienda riguardo:


  • L'origine dei dati utilizzati per l'addestramento del modello
  • Le modalità di trattamento dei dati personali degli utenti italiani
  • L'eventuale coinvolgimento di dati sensibili senza autorizzazione


DeepSeek ha 20 giorni per rispondere a queste richieste. Nel frattempo, negli Stati Uniti, Microsoft e OpenAI stanno indagando se un gruppo associato a DeepSeek abbia ottenuto in modo improprio dati dalle tecnologie di OpenAI per addestrare i propri modelli.

Anche le istituzioni governative statunitensi si sono attivate: la Marina militare degli Stati Uniti ha invitato il personale a non scaricare, installare o utilizzare il modello di DeepSeek, sottolineando i timori su "potenziali problemi etici e di sicurezza".

Conclusioni

La rapida ascesa di DeepSeek nel panorama dell'intelligenza artificiale è stata accompagnata da significative preoccupazioni riguardo alla sicurezza dei dati e alla protezione della privacy degli utenti. Questo incidente sottolinea l'importanza cruciale di implementare misure di sicurezza rigorose e di garantire la conformità alle normative sulla protezione dei dati, specialmente per le aziende che operano nel campo dell'intelligenza artificiale e gestiscono grandi volumi di informazioni sensibili.