DeekSeek gibt Millionen Nutzerdaten preis

DeepSeek gibt ungewollt Datenbanken mit Millionen Chatverläufen sowie Nutzerdaten preis. Länder schlagen Alarm vor dem chinesischen KI-Unternehmen.

DeepSeek, das Unternehmen, das für sein “DeepSeek-R1 LLM”-KI-Modell bekannt ist, das in den letzten Tagen ordentlich Wellen durch die Medien schlug, hat ungewollt Datenbanken mit sensiblen Nutzerdaten der Öffentlichkeit zugänglich gemacht. Das berichtet auch Bleepingcomputer.

Auf die Schwachstelle war das Sicherheitsunternehmen “Wiz Research” gestoßen. Das Sicherheitsunternehmen fand zwei öffentlich zugängliche Datenbankinstanzen während einer Sicherheitsüberprüfung der Infrastruktur von DeepSeek. Beliebige SQL-Abfragen über eine Weboberfläche ließen eine Abfrage zu, ohne dass eine Authentifizierung erforderlich war.

Millionen Protokolleinträge waren öffentlich zugänglich
Die ungesicherten Instanzen enthielten Berichten zufolge über eine Million Protokolleinträge. Darunter komplette Chatverläufe von Nutzern im Klartext, API-Schlüssel sowie Backend-Details und Metadaten des Unternehmens.

“Diese Zugriffsebene stellte ein kritisches Risiko für die Sicherheit von DeepSeek selbst und für seine Endnutzer dar”, so das Sicherheitsunternehmen. “Ein Angreifer könnte nicht nur sensible Protokolle und Chat-Nachrichten im Klartext abrufen, sondern möglicherweise auch Klartext-Passwörter und lokale Dateien mit geschützten Informationen direkt vom Server abrufen […]”

Wiz Research hat DeepSeek über die Sicherheitslücke umgehend informiert und das KI-Unternehmen hat sich der Sache angenommen. Die Datenbanken sind inzwischen nicht mehr öffentlich. Ob die Sicherheitsforscher die Ersten waren, die diese Schwachstelle entdeckten, ist natürlich nicht bekannt.

Abgesehen von dem Fakt, dass DeepSeek ein in China ansässiges Technologieunternehmen ist, das sich aggressiven Datenzugriffsanfragen der chinesischen Regierung nachkommen muss, scheint das Unternehmen bisher auch keine vollkommen sichere Umgebung für seine Nutzer geschaffen zu haben. Laut Berichten könne die Offenlegung von Backend-Details und API-Schlüsseln Angreifern sogar den Zugang zu internen Netzwerken von DeepSeek verschaffen und potenziell zu noch größeren Sicherheitsverletzungen führen.

Erste Länder schlagen Alarm, andere schränken die Nutzung der Plattform ein
Das taiwanesische Ministerium für digitale Angelegenheiten erklärte bereits, dass Mitarbeitern des öffentlichen Sektors sowie kritischen Infrastruktureinrichtungen die Nutzung von DeepSeek untersagt ist. Wie Business Insider berichtet, sieht das Ministerium, dass grenzüberschreitende Übertragungen zu Informationslecks führen und die nationale Informationssicherheit gefährden könnten.

Die italienische Datenschutzbehörde Garante hat gar den Zugang zur DeepSeek-App gesperrt, um Daten italienischer Nutzer zu schützen. “Im Gegensatz zu den Feststellungen der Behörde haben die Unternehmen erklärt, dass sie nicht in Italien tätig sind und die europäischen Rechtsvorschriften nicht auf sie anwendbar sind”, so Garante in einer Erklärung. Weiterhin hat die Behörde eine Untersuchung eingeleitet.

Die irische Datenschutzkommission teilte ebenfalls bereits mit, dass man DeepSeek kontaktiert hat, um mehr Informationen darüber zu erhalten, wie das Unternehmen die Daten irischer Nutzer verarbeitet.

Und auch im Vereinigten Königreich habe man Bedenken. Feryal Clark, der Minister für künstliche Intelligenz, warnte dabei britische Bürger, die DeepSeek nutzen möchten. Clark ließ den Bürgern aber die freie Wahl: “Letztendlich ist es eine persönliche Entscheidung der Menschen, ob sie das Programm herunterladen wollen oder nicht”, sagte der Minister in einem Interview mit Bloomberg. “Mein Rat ist, sicherzustellen, dass die Leute, die es herunterladen, sich der potenziellen Risiken bewusst sind und wissen, wie ihre Daten verwendet werden.”