Çinli yapay zeka platformu DeepSeek, kullanıcı verilerinin korunmasında ciddi bir güvenlik açığıyla gündeme geldi. Amerikan siber güvenlik firması Wiz’in yaptığı analizlere göre, DeepSeek’in veritabanı dış erişime tamamen açık durumdaydı ve herhangi bir parola koruması bulunmuyordu.
Çinli DeepSeek, kullanıcı verilerini internete mi sızdırdı?
Wiz araştırmacıları, DeepSeek platformunda 8123 ve 9000 numaralı iki açık port tespit ederek bu portlar aracılığıyla şifreleme veya ek güvenlik önlemi olmadan doğrudan veritabanına erişimin mümkün olduğunu ortaya çıkardı. Elde edilen verilere göre, veritabanında kullanıcı oturum zaman kayıtları, sohbet geçmişleri, API anahtarları, sunucu verileri ve meta veriler gibi 976 bin satırlık log kaydı bulunuyordu. Özellikle API anahtarlarının ve sohbet içeriklerinin korunmasız biçimde erişilebilir olması, DeepSeek kullanıcılarının verilerinin saldırganlar tarafından ele geçirilme riskini artırıyor.
DeepSeek’in veritabanına doğrudan erişim sağlanabilmesi, saldırganların sohbet mesajlarını, şirket sunucularındaki şifreleri ve diğer hassas dosyaları çalabilme ihtimalini ortaya çıkarıyor. Ancak, sızan verilerin doğrudan kullanıcı hesaplarıyla bağlantılı olup olmadığı veya anonim hale getirilip getirilmediği konusunda henüz net bir bilgi bulunmuyor.
Olayın duyulmasının ardından güvenlik açığı kapatılmış olsa da, DeepSeek yetkilileri şu ana kadar herhangi bir resmi açıklama yapmadı. Bu durum, platformun güvenlik önlemleri ve kullanıcı gizliliğine verdiği önem konusunda soru işaretleri yaratıyor. Yapay zeka sektöründe hızla yükselen bir platformun böyle büyük bir güvenlik açığına sahip olması, hem kullanıcılar hem de yatırımcılar açısından endişe verici bir gelişme olarak değerlendiriliyor.
