DeepSeek: Millionen sensibler Datensätze geleakt

Ein schwerwiegendes Sicherheitsproblem wurde bei DeepSeek, einem chinesischen KI-Startup, entdeckt. Das Sicherheitsteam von Wiz Research fand eine öffentlich zugängliche ClickHouse-Datenbank, die ohne Authentifizierung abrufbar war. Diese Sicherheitslücke ermöglichte uneingeschränkten Zugriff auf interne Daten, einschließlich Chatverläufe, API-Schlüssel, Backend-Informationen und Betriebslogs. Insgesamt wurden über eine Million sensible Log-Einträge offengelegt.

DeepSeek hat mit seinem DeepSeek-R1-Modell, das als Alternative zu OpenAIs neuesten Systemen gilt, erhebliche Aufmerksamkeit erregt. Wiz Research untersuchte daraufhin die externe Sicherheitslage des Unternehmens und fand innerhalb weniger Minuten eine offene ClickHouse-Datenbank auf den Subdomains oauth2callback.deepseek.com und dev.deepseek.com. Die Zugriffswege über Ports 8123 und 9000 ermöglichten direkte SQL-Abfragen ohne jegliche Authentifizierung.

Die Einträge aus den Logs enthielten:

  • Eindeutige Zeitstempel ab dem 6. Januar 2025
  • Verweise auf interne DeepSeek-API-Endpunkte
  • Klartext-Logs mit Chatverläufen, API-Keys und Backend-Metadaten
  • Dateipfade und Service-Zuordnungen der KI-Infrastruktur

Ein Angreifer hätte mit einfachen SQL-Befehlen nicht nur gespeicherte Chatverläufe auslesen, sondern möglicherweise auch sensible Informationen wie Passwörter oder interne Dateistrukturen exfiltrieren können.

Related Posts

Cyberangriff auf sieben weiterführende Schulen im Landkreis Kitzingen

Am 23. Oktober 2024 wurden die IT-Systeme mehrerer weiterführender Schulen im Landkreis Kitzingen Ziel eines Cyberangriffs. Betroffen sind unter anderem die Staatlichen Realschulen in Kitzingen und Dettelbach, das Armin-Knab-Gymnasium, das Gymnasium Marktbreit, die Berufsschule und FOSBOS sowie die Erich Kästner Schule. Auch der Schulstandort Ochsenfurt ist offline. Der Unterricht läuft jedoch vorerst weiter, allerdings gibt es starke Einschränkungen bei der digitalen Kommunikation.

Read More

National Public Data meldet nach Datenleck Insolvenz an

Das in Florida ansässige Unternehmen National Public Data, spezialisiert auf Hintergrundüberprüfungen, hat am 15. Oktober 2024 Insolvenz angemeldet. Grund dafür ist ein massives Datenleck, bei dem etwa 270 Millionen Sozialversicherungsnummern sowie weitere persönliche Daten gestohlen wurden. Die Hackergruppe USDoD bot die gestohlenen Daten im Darknet zum Verkauf an. Das Unternehmen sieht sich nun mit zahlreichen Klagen und regulatorischen Herausforderungen konfrontiert, während die finanziellen Mittel für Entschädigungen oder Schadensregulierungen äußerst begrenzt sind. Betroffensind Namen, Geburtsdaten, Adressen und Sozialversicherungsnummern.

Read More

Nokia untersucht möglichen Datenleck durch Drittanbieter

Der Telekommunikationsriese Nokia sieht sich derzeit mit der Behauptung konfrontiert, dass ein unbefugter Akteur den Source Code des Unternehmens gestohlen hat. Nach Angaben des IT-Sicherheitsportals BleepingComputer hat ein Hacker mit dem Pseudonym “IntelBroker” behauptet, Zugang zu Daten eines Drittanbieters erhalten zu haben, der in direkter Verbindung mit Nokia steht.

Read More