DeepSeek, un chatbot cinese AI, ha recentemente affrontato una significativa violazione della sicurezza che ha esposto i dati sensibili degli utenti, sollevando serie preoccupazioni sulle sue pratiche di protezione dei dati. La violazione ha coinvolto oltre un milione di righe di voci di registro, tra cui storie di chat private e segreti operativi, che sono stati trovati in un database non garantito accessibile al pubblico [1] [2]. Questo incidente ha spinto indagini sia in Europa che negli Stati Uniti, portando ad azioni normative come la rimozione di Deepseek dall'App Store in Italia [1] [2].
Risposta alla violazione
Alla scoperta del database esposto da parte di Wiz Research, DeepSeek ha agito rapidamente per garantire le informazioni. Secondo quanto riferito, la società ha eliminato il database di clickhouse non garantito entro un'ora dall'avviso, sebbene la mancanza di misure di sicurezza iniziali ha sollevato allarmi su potenziali accesso non autorizzato prima di questa azione [2] [4]. I ricercatori di Wiz hanno notato che il database non era completamente protetto, consentendo un accesso illimitato a registri interni e dati sensibili senza alcun meccanismi di autenticazione [2] [4].
implicazioni e indagini
La violazione ha portato a un aumento del controllo dai corpi regolatori. Oltre all'azione rapida dell'Italia, sono in corso indagini in altri paesi, tra cui l'Irlanda e gli Stati Uniti, concentrandosi sulle pratiche di gestione dei dati di DeepSeek e sul rispetto delle normative sulla privacy [2] [3]. Il Consiglio di sicurezza nazionale degli Stati Uniti sta inoltre rivedendo le implicazioni delle operazioni di DeepSeek sulla sicurezza nazionale, data la natura sensibile dei dati coinvolti [2].
lezioni apprese
Questo incidente sottolinea la necessità critica di solidi protocolli di sicurezza nello sviluppo dell'IA. La rapida implementazione delle tecnologie AI deve essere accompagnata da rigide misure di protezione dei dati per prevenire violazioni simili in futuro. Si consiglia agli utenti di rimanere vigili per quanto riguarda le loro informazioni personali quando si utilizzano i servizi di intelligenza artificiale e di esaminare le pratiche di sicurezza delle piattaforme con cui interagiscono [1] [4].
In sintesi, mentre DeepSeek ha preso provvedimenti per affrontare l'immediata ricaduta da questa violazione, l'incidente evidenzia questioni più ampie in merito alla sicurezza informatica nel progredire in rapido avanzamento delle tecnologie di intelligenza artificiale.
Citazioni:
[1] https://www.reporterosdelsur.com.mx/news-en/massive-security-breach-deepseeks-ai-chatbot-expeses-millions-of-sensitive-data-entries/96197/
[2] https://www.csoonline.com/article/3813224/deepseek-leaks-one-milion-sensitive-records-in-a-major-data-breach.html
[3] https://blog.cofondai.site/exposed-deepseek-database-reveals-sensitive-data-breach-393090627cbb?gi=a5d8a444cBE7
[4] https://thehackernews.com/2025/01/deepseek-ai-database-esposed-over-1.html
[5] https://chat.deepseek.com/downloads/deepseek%20privacy%20policy.html
[6] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-loak
[7] https://stayaiware.com/story/microsoft-and-openai-investigate-data-ubreach-bydeek
[8] https://socradar.io/deepseek-cybersecurity-risks-ai-platform/