Résumé : une fuite de données majeure chez DeepSeek, découverte par la société de sécurité cloud Wiz, a révélé une base de données non protégée contenant des informations sensibles, notamment des historiques de conversations, des clés API et plus d'un million de lignes de logs système. L'incident, particulièrement préoccupant car survenant peu après les accusations d'OpenAI concernant l'utilisation non autorisée de ses données, met en lumière des failles significatives dans les pratiques de sécurité de DeepSeek. Bien que la base de données ait été depuis sécurisée, l'absence totale d'authentification et la facilité avec laquelle elle a été découverte soulèvent des questions sérieuses sur la protection des données dans l'industrie de l'IA, d'autant plus que l'on ignore si des acteurs malveillants ont pu accéder aux informations exposées avant leur sécurisation.
Selon l'entreprise de sécurité informatique Wiz, DeepSeek a sécurisé une base de données ouverte qui exposait les données confidentielles des utilisateurs, notamment l'historique des conversations, les clés d'authentification API et les fichiers logs du système. Les chercheurs ont découvert la base de données en quelques minutes, car elle ne comportait aucune forme d'authentification.
Les données non protégées étaient stockées dans un système de gestion de données open-source, ClickHouse, contenant plus d'un million de lignes de journal. L'équipe de sécurité de Wiz a averti que cette découverte permettait un contrôle total de la base de données et aurait pu entraîner une escalade des privilèges au sein des systèmes internes de DeepSeek. C'est Wired qui a été le premier à signaler la faille.
On ne sait pas encore si des personnes non autorisées ont accédé aux informations accessibles avant qu'elles ne soient sécurisées. Cependant, les chercheurs de Wiz ont suggéré qu'étant donné la facilité avec laquelle elles ont été découvertes, il est probable que d'autres personnes aient pu tomber dessus. Ils ont également noté que l'architecture du système de DeepSeek ressemble beaucoup à celle d'OpenAI, y compris le format des clés API.
Cette annonce intervient quelques jours seulement après qu'OpenAI a accusé DeepSeek d'avoir utilisé ses données pour entraîner des modèles d'IA, ce qui a suscité de nouvelles inquiétudes quant à la sécurité et aux pratiques éthiques de DeepSeek. Bien que l'entreprise ait depuis verrouillé la base de données, l'incident illustre les préoccupations croissantes en matière de protection des données et de la vie privée dans le secteur de l'IA.
Les utilisateurs sont invités à rester prudents lorsqu'ils interagissent avec des plateformes d'IA, en particulier celles dont les règles de sécurité ne sont pas transparentes. Cette situation souligne la nécessité de renforcer les mesures de protection dans les services fondés sur l'IA afin d'éviter les fuites de données à l'avenir.
source :
https://www.ghacks.net/2025/01/31/deepseek-ai-exposed-user-data-and-chat-histories/
Enregistrer un commentaire
Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.