Datenleck bei Deepseek: Millionen sensibler Informationen ungeschützt im Netz

Das chinesische KI-Startup Deepseek, das kürzlich durch die Einführung eines neuen Sprachmodells für Aufsehen sorgte, steht aufgrund einer wahrscheinlichen Datenschutzpanne nun im Zentrum der Kritik. Sicherheitsforscher des Unternehmens Wiz entdeckten ein massives Datenleck, bei dem unter anderem Chatverläufe und geheime Schlüssel frei zugänglich waren.

Die Sicherheitslücke wurde in einer Clickhouse-Datenbank von Deepseek gefunden. Clickhouse ist ein quelloffenes Datenbankmanagementsystem, das für schnelle analytische Abfragen großer Datenmengen entwickelt wurde. Diese Datenbank war über zwei öffentlich zugängliche URLs ohne jegliche Authentifizierung erreichbar (oauth2callback.deepseek.com:9000 und dev.deepseek.com:9000). Dadurch hatten Unbefugte potenziell Zugriff auf über eine Million Zeilen hochsensibler Informationen.

Zu den betroffenen Daten gehörten Chatverläufe der Nutzer, API-Schlüssel, Backend-Daten sowie betriebliche Details. Die Forscher von Wiz berichteten, dass sie innerhalb weniger Minuten nach Beginn ihrer Analyse vollständige Kontrolle über die Datenbank erlangten.

Nachdem Wiz das Problem an Deepseek gemeldet hatte, reagierte das Unternehmen schnell: Innerhalb weniger als einer Stunde wurde die Sicherheitslücke geschlossen. Laut Ami Luttwak, CTO von Wiz, ist jedoch nicht auszuschließen, dass auch böswillige Akteure die Datenbank entdeckt haben könnten. Die einfache Zugänglichkeit der Daten lässt vermuten, dass andere Personen oder Gruppen möglicherweise bereits Zugriff hatten. So schreibt Ami Luttwak, der CTO von Wiz im zugehörigen Blogbeitrag: "Das Leck war so einfach zu finden, dass wir glauben, dass wir nicht die Einzigen sind, die es entdeckt haben."