DeepSeek disebut punya celah keamanan yang cukup besar
Peneliti dari Wiz Research menemukan basis data DeepSeek yang dapat diakses publik tanpa autentikasi, mengekspos riwayat obrolan, kunci API, dan detail backend.
Bagi kalian yang saat ini sedang menggunakan DeepSeek, kalian harus waspada. Soalnya, baru-baru ini telah ditemukan sebuah celah keamanan yang cukup besar di teknologi AI tersebut, yang dimana dapat mengungkapkan beberapa data sensitif penggunanya dengan sangat mudah.
Dalam sebuah kabar terbaru, Wiz Research dilaporkan telah menemukan celah keamanan serius pada basis data ClickHouse milik DeepSeek. Dari celah keamanan tersebut, sejumlah besar data sensitif termasuk riwayat obrolan pengguna, kunci API, dan informasi backend dapat diakses siapapun dengan mudah.
“Dalam hitungan menit, kami menemukan basis data ClickHouse yang dapat diakses publik yang terhubung ke DeepSeek, sepenuhnya terbuka dan tidak diautentikasi,” tulis Wiz Research dalam laporan mereka. Basis data ini ditemukan di oauth2callback.deepseek.com:9000 dan dev.deepseek.com:9000.
Para peneliti menemukan dua port terbuka yang tidak biasa (8123 dan 9000) pada server DeepSeek. Port tersebut menyediakan akses ke basis data ClickHouse tanpa autentikasi, memungkinkan siapa saja mengeksekusi kueri SQL langsung melalui antarmuka HTTP.
Setelah menjalankan perintah dasar seperti SHOW TABLES;, para peneliti menemukan lebih dari satu juta entri log, termasuk:
- timestamp – Log berasal dari 6 Januari 2025
- span_name – Referensi ke berbagai titik akhir API DeepSeek internal
- string.values – Data teks biasa seperti riwayat obrolan, kunci API, dan metadata backend
- _service – Indikasi layanan DeepSeek yang menghasilkan log
- _source – Mengungkap asal permintaan log, termasuk struktur direktori dan metadata chatbot
Meskipun tidak menjalankan kueri yang mengganggu demi menjaga etika penelitian, para peneliti memperingatkan bahwa tingkat akses ini berpotensi membahayakan pengguna DeepSeek dan infrastruktur perusahaan. Jika dieksploitasi oleh pihak jahat, data yang bocor bisa digunakan untuk mencuri informasi pribadi, mengambil alih akun, atau mengakses file lokal pada server.
Segera setelah para peneliti keamanan menemukan celah tersebut dan memberi informasi ke pihak DeepSeek, mereka kini telah merespons dengan mengamankan servernya, tetapi kejadian ini menyoroti risiko keamanan signifikan yang dihadapi layanan AI berbasis cloud, terutama yang menyimpan data pengguna dalam skala besar.
