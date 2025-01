Un simple chatbot IA peut-il mettre en danger vos données personnelles ? DeepSeek, l’une des IA les plus prometteuses du moment, vient de commettre une erreur monumentale ! Une de ses bases de données est restée exposée en ligne, laissant accessibles des millions de conversations, des secrets d’API et des informations internes critiques.

DeepSeek, une start-up chinoise spécialisée dans l’IA, connaît un succès fulgurant grâce à son modèle open source très performant. Mais derrière cette ascension, un problème majeur vient d’éclater. Ainsi, une gigantesque brèche de sécurité a permis l’accès à plus d’un million de lignes de journal, contenant des historiques de conversation, des clés API secrètes et des informations critiques sur l’architecture du système.

Selon les experts en cybersécurité, cette faille dans la base de données ClickHouse offrait un contrôle total aux attaquants, sans nécessiter la moindre authentification. Un simple navigateur suffisait pour exécuter des requêtes SQL et naviguer librement dans l’univers DeepSeek.

Nous parlons donc ici d’une base de données ClickHouse qui aurait été totalement ouvert sans authentification. Selon Gal Nagli, chercheur en cybersécurité chez Wiz, cette faille permettait un contrôle total sur la base de données, y compris l’accès aux historiques de conversation et aux clés secrètes.

Les serveurs concernés, hébergés sur oauth2callback.deepseek[.]com:9000 et dev.deepseek[.]com:9000, permettaient d’exécuter des requêtes SQL directement depuis un simple navigateur web. En clair, c’était une porte ouverte à n’importe qui. Et le pire, c’est que nous ne savons même pas si des acteurs malveillants en ont déjà profité.

