A plataforma de inteligência artificial (IA) DeepSeek, que ganhou destaque nos últimos dias superando concorrentes estabelecidos, enfrentou uma séria brecha de segurança em seus servidores. Essa falha expôs uma quantidade significativa de dados sensíveis, incluindo informações privadas e cruciais para o funcionamento do serviço.
A descoberta foi realizada pela empresa israelense de cibersegurança Wiz, que oferece ferramentas de proteção digital. Em uma postagem em seu blog, a companhia revelou que conseguiu acessar uma base de dados do sistema de gerenciamento ClickHouse com facilidade alarmante, apresentando resultados que geram preocupação.
Após a detecção da vulnerabilidade, a equipe da Wiz entrou em contato com a DeepSeek, que rapidamente tomou medidas para fechar a brecha. No entanto, até o momento, a empresa chinesa não se pronunciou oficialmente sobre o incidente. A empresa russa Yandex, responsável pelo gerenciador ClickHouse, também não comentou a denúncia.
No início da semana, a DeepSeek já havia sofrido "ataques maliciosos contra seus servidores", mas não forneceu detalhes sobre se realmente ocorreu uma invasão ou apenas uma sobrecarga forçada nos acessos.
De acordo com o relatório da Wiz, as informações vazadas incluíam:
- Histórico de conversas com o chatbot;
- Chaves secretas da API da ferramenta;
- Detalhes sobre o funcionamento do backend da plataforma;
- Metadados gerados pelas interações.
Esses dados estavam armazenados em texto simples e não criptografado, o que significa que invasores com intenções maliciosas poderiam facilmente acessar esse conteúdo. Até o momento, não há evidências de acessos não autorizados além dos testes realizados pela Wiz.
A brecha de segurança é considerada crítica tanto para os usuários quanto para a DeepSeek, uma vez que tentativas de acesso semelhantes podem resultar na obtenção de dados ainda mais sensíveis, como documentos privados e senhas.
Em sua conclusão, a Wiz emitiu um alerta para empresas que já estão utilizando a API da DeepSeek ou de outras plataformas de IA. Os pesquisadores destacaram que a rápida adoção desse tipo de serviço e o fornecimento de dados e documentos sensíveis, especialmente de natureza corporativa, aumentam os riscos de roubos e vazamentos de informações.
