DeepSeek AI Veri Sızıntısı: 1 Milyondan Fazla Günlük ve Gizli Anahtar Ele Geçirildi
Yapay zeka girişimi DeepSeek'in kritik bir veritabanı açığı nedeniyle 1 milyondan fazla günlük kaydı, sohbet geçmişi, gizli anahtarlar ve operasyonel metaveriler internete sızdı.
Siber güvenlik firması Wiz tarafından tespit edilen güvenlik açığı, DeepSeek'in oauth2callback.deepseek[.]com:9000 ve dev.deepseek[.]com:9000 adreslerinde barındırılan veritabanlarının kimlik doğrulama olmadan erişilebilir olduğunu ortaya koydu. Uzmanlara göre, saldırganlar bu açık üzerinden veritabanı üzerinde tam kontrol sağlayabilir ve sistem ayrıcalıklarını yükseltebilir.
Açık Nasıl Kullanıldı?
Güvenlik araştırmacıları, sızdırılan verilerin ClickHouse’un HTTP arayüzündeki bir güvenlik açığı kullanılarak erişildiğini belirtti. Bu açıklıktan yararlanan saldırganlar, yalnızca bir web tarayıcısı üzerinden rastgele SQL sorguları çalıştırabilir hale geldi.
DeepSeek, güvenlik açığını doğruladı ve gerekli yamaların uygulandığını açıkladı. Ancak olay, yapay zeka girişimleri için veri güvenliği konusundaki riskleri bir kez daha gündeme getirdi.
Sızdırılan Veriler Neler?
- 1 milyondan fazla günlük kaydı
- Kullanıcı sohbet geçmişleri
- Gizli API anahtarları ve erişim kimlik bilgileri
- Arka uç sistem detayları ve operasyonel metaveriler
Bu olay, şirketlerin veri güvenliği önlemlerini artırması gerektiğini gösteriyor. Uzmanlar, özellikle yapay zeka alanında faaliyet gösteren firmaların, veritabanı erişimlerini sıkı şekilde denetlemeleri gerektiği konusunda uyarıda bulunuyor.
CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
