-
Zusammenfassung
- Wiz Research entdeckte eine öffentlich zugängliche ClickHouse-Datenbank von DeepSeek. Diese Datenbank erlaubte die vollständige Kontrolle über Datenbankoperationen, einschließlich der Möglichkeit, auf interne Daten zuzugreifen. Zu den offengelegten Daten gehörten Chatverläufe, geheime Schlüssel, Backend-Details und weitere hochsensible Informationen. Das Team von Wiz Research meldete das Problem umgehend und verantwortungsvoll an DeepSeek, woraufhin DeepSeek die Offenlegung schnell absicherte.
-
Wichtige Punkte
- DeepSeek ist ein chinesisches AI-Startup, das insbesondere durch sein Inferenzmodell DeepSeek-R1 Aufmerksamkeit erregt. Dieses Modell konkurriert leistungsmäßig mit führenden AI-Systemen wie OpenAIs o1 und sticht durch Kosteneffizienz und Effizienz hervor.
- Das Team von Wiz Research begann die Untersuchung, um den externen Sicherheitsstatus von DeepSeek zu bewerten und potenzielle Schwachstellen zu identifizieren. Innerhalb weniger Minuten entdeckte es eine öffentlich zugängliche ClickHouse-Datenbank, die mit DeepSeek verbunden war und vollständig offen sowie ohne Authentifizierung sensible Daten preisgab.
- Diese Datenbank enthielt Chatverläufe, Backend-Daten und sensible Informationen, darunter Log-Streams, API-Geheimnisse und Betriebsdetails. Noch gravierender war, dass diese Offenlegung ohne Authentifizierung oder Schutzmechanismen die vollständige Kontrolle über die Datenbank und eine potenzielle Rechteausweitung innerhalb der DeepSeek-Umgebung ermöglichte.
-
Ablauf der Offenlegung
- Ausgangspunkt war die Bewertung der öffentlich zugänglichen Domains von DeepSeek. Durch das Mapping der externen Angriffsfläche wurden rund 30 dem Internet ausgesetzte Subdomains identifiziert. Die meisten hosteten Elemente wie Chatbot-Oberflächen, Statusseiten und API-Dokumentation und deuteten zunächst nicht auf eine Hochrisiko-Offenlegung hin.
- Als die Suche jedoch über die Standard-HTTP-Ports (80/443) hinaus erweitert wurde, wurden zwei ungewöhnliche und offene Ports (8123 & 9000) erkannt. Diese Ports führten zu einer öffentlich exponierten ClickHouse-Datenbank, die ohne Authentifizierung zugänglich war.
- ClickHouse ist ein Open-Source-spaltenorientiertes Datenbankmanagementsystem, das für schnelle analytische Abfragen großer Datensätze entwickelt wurde. Es wurde von Yandex entwickelt und wird häufig für Echtzeit-Datenverarbeitung, Log-Speicherung und Big-Data-Analysen eingesetzt.
- Über die HTTP-Schnittstelle von ClickHouse war ein Zugriff auf den Pfad
/playmöglich, wodurch sich beliebige SQL-Abfragen direkt im Browser ausführen ließen. Mit einer einfachenSHOW TABLES;-Abfrage wurde die vollständige Liste der zugänglichen Datensätze zurückgegeben. - Die Tabelle
log_streamwar besonders bemerkenswert und enthielt mehr als eine Million Log-Einträge. Diese Tabelle umfasste Klartext-Logs mit Chatverläufen, API-Schlüsseln, Backend-Details und Betriebsmetadaten.
-
Zentrale Implikationen
- Die schnelle Einführung von AI-Services ist von Natur aus riskant, wenn sie nicht mit Sicherheit einhergeht. Diese Offenlegung unterstreicht, dass die unmittelbaren Sicherheitsrisiken von AI-Anwendungen aus der Infrastruktur und den unterstützenden Tools stammen.
- Während sich viel Aufmerksamkeit bei AI-Sicherheit auf zukünftige Bedrohungen richtet, entstehen reale Risiken oft aus grundlegenden Problemen. Basisrisiken wie die externe Offenlegung einer Datenbank sollten oberste Priorität für Sicherheitsteams haben.
- Organisationen, die AI-Tools und -Services einsetzen, sollten sich bewusst machen, dass sie diesen Unternehmen sensible Daten anvertrauen. Das hohe Einführungstempo kann dazu führen, dass Sicherheit übersehen wird, doch der Schutz von Kundendaten muss oberste Priorität haben.
- Sicherheitsteams sollten eng mit AI-Ingenieuren zusammenarbeiten, um Transparenz über die eingesetzte Architektur, Tools und Modelle zu gewinnen und Daten zu schützen sowie Offenlegungen zu verhindern.
-
Fazit
- AI ist eine Technologie, die schneller als je zuvor eingeführt wird. Viele AI-Unternehmen sind ohne Sicherheitsframeworks rasch zu wichtigen Infrastrukturanbietern geworden. Da AI immer tiefer in Unternehmen weltweit integriert wird, müssen die Risiken beim Umgang mit sensiblen Daten erkannt und Sicherheitspraktiken umgesetzt werden, wie sie auch von öffentlichen Cloud-Anbietern und großen Infrastrukturanbietern verlangt werden.
1 Kommentare
Hacker-News-Kommentare
Die Unkenntnis über Software Engineering in nicht englischsprachigen Ländern wurde deutlich. Es wurde die Frage aufgeworfen, warum Datenbankschema und Logs auf Englisch sind.
Angesichts der Tatsache, dass DeepSeek vielen US-Kleinanlegern finanzielle Verluste zugefügt hat, überrascht die Feindseligkeit in den Kommentaren nicht.
Die URL und den Port direkt zu veröffentlichen, wirkt unverantwortlich.
Es gab viele Versuche, DeepSeek an den Pranger zu stellen.
Der zeitliche Ablauf bei ethischem Hacking und verantwortungsvoller Offenlegung im Fall DeepSeek wurde nicht gut diskutiert.
Es ist besser, das Modell lokal auszuführen oder zustandslose Remote-Chat-Modelle wie AWS Bedrock zu verwenden.
Es gibt interessante Aspekte an der Entwicklungsinfrastruktur und der Observability-Datenbank.
Das offengelegte ClickHouse ähnelt den offengelegten Elasticsearch-Instanzen aus der Vergangenheit.
Es wurde gefragt, ob DeepSeek ein Bug-Bounty-Programm hat.
Das passt zu der Sichtweise, dass DeepSeek ein Nebenprojekt von Quant-Tradern ist.