Việc thiếu xác thực SSL trong DeepSeek làm tăng đáng kể nguy cơ tấn công mạo danh bằng cách cho phép các tác nhân độc hại chặn và thao túng dữ liệu nhạy cảm. Dưới đây là một lời giải thích chi tiết về cách lỗ hổng này khiến người dùng đưa người dùng đến các mối đe dọa như vậy:
1. Việc mạo danh các máy chủ đáng tin cậy: Nếu không xác thực SSL thích hợp, tin tặc có thể mạo danh các máy chủ đáng tin cậy bằng cách tạo các trang web giả bắt chước sự xuất hiện và chức năng của các dịch vụ DeepSeek hợp pháp. Điều này đạt được bằng cách khai thác sự vắng mặt của xác thực chứng chỉ, thường sẽ xác minh tính xác thực của danh tính của trang web. Do đó, người dùng có thể vô tình tương tác với các trang web độc hại, tin rằng chúng là chính hãng [1] [3].
2. Đánh chặn dữ liệu nhạy cảm: Khi người dùng kết nối với các trang web giả này, thông tin nhạy cảm của họ như thông tin đăng nhập, dữ liệu cá nhân hoặc chi tiết tài chính có thể bị chặn bởi những kẻ tấn công. Điều này là do việc thiếu xác thực SSL có nghĩa là dữ liệu được truyền giữa thiết bị của người dùng và máy chủ giả không được mã hóa hoặc xác thực đúng, cho phép tin tặc nắm bắt và khai thác thông tin này [1] [3].
3. Các cuộc tấn công của người đàn ông trong trung gian (MITM): Việc không có xác thực SSL cũng tạo điều kiện cho các cuộc tấn công của người đàn ông, trong đó kẻ tấn công đặt vị trí giữa người dùng và máy chủ dự định. Bằng cách làm như vậy, họ có thể sửa đổi hoặc đưa dữ liệu độc vào luồng truyền thông, tiếp tục ảnh hưởng đến bảo mật người dùng và tin tưởng vào dịch vụ [3] [7].
4. Ví dụ, trong các lĩnh vực như tài chính hoặc chăm sóc sức khỏe, không thực hiện xác thực chứng chỉ mạnh mẽ có thể dẫn đến các hình phạt đáng kể và thiệt hại uy tín [3] [7].
Để giảm thiểu các rủi ro này, DeepSeek nên thực hiện các giao thức xác thực SSL nghiêm ngặt, bao gồm cả chứng chỉ ghim để xác minh tính xác thực của máy chủ và đảm bảo giao tiếp an toàn. Kiểm tra thâm nhập thường xuyên cũng có thể giúp xác định và giải quyết các lỗ hổng liên quan đến SSL một cách chủ động [1] [3].
Trích dẫn:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://www.zscaler.com/blogs/security-research/deepseek-lure-using-captchas-spread-malware
[3] https://www.linkedin.com/pulse/unlocking-digital-trust-importance-certificate-validation-anbglobal-rvjpf
[4] https://networkintelligence.ai/wp-content/uploads/2025/03/Network_Intelligence_DeepSeek_AI_Assessment_Report.pdf
[5] https://secur toàn
.
.
.
.
.
.
.