Panašu, kad „Deepseek“ neturi patikimų metodų, kaip patikrinti, ar buvo pakenkta SSL sertifikatas. Tiesą sakant, programa buvo kritikuojama dėl to, kad nepatvirtino SSL sertifikatų, todėl ji tampa pažeidžiama apsimetinėjimo atakų ir neteisėtos prieigos [1] [3]. Šis patvirtinimo trūkumas leidžia įsilaužėliams apsunkinti patikimus serverius ir perimti neskelbtiną informaciją, tokią kaip prisijungimo kredencialai ir asmens duomenys [1].
Norėdami veiksmingai patikrinti, ar nėra pažeistų SSL sertifikatų, organizacijos paprastai naudoja rankinių ir automatinių metodų derinį. Automatizuotos priemonės yra ypač veiksmingos, nes jie nuolat stebi sertifikatus tokiems klausimams kaip galiojimo laikas, konfigūracijos problemos ir kriptografiniai silpnybės, teikdami pranešimus realiuoju laiku apie būtinus veiksmus [9]. Tačiau nėra jokių požymių, kad „Deepseek“ naudoja tokias priemones.
Vietoj to, „Deepseek“ pažeidžiamumas pabrėžia poreikį įgyvendinti tinkamą SSL patvirtinimą ir pažymėjimą, kad būtų išvengta apsimetinėjimo atakų. Tai apima griežtų SSL patvirtinimo protokolų užtikrinimą programos kode ir reguliarų skverbimosi testavimą, kad būtų galima nustatyti ir ištaisyti SSL susijusius pažeidžiamumus [1]. Be to, integruojant tokias priemones kaip „Splunk Enterprise Security“ galėtų padėti stebėti ir išanalizuoti SSL/TLS sertifikatus dėl galimų grėsmių [2].
Apibendrinant galima pasakyti, kad „Deepseek“ neatrodo, kad būtų naudojami patikimi metodai, kaip tikrinti pažeistus SSL sertifikatus, o tai kelia didelę saugumo riziką. Tvirto SSL patvirtinimo ir automatinių stebėjimo įrankių panaudojimo įgyvendinimas būtų būtini veiksmai, siekiant pagerinti jo saugumo laikyseną.
Citatos:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://www.splunk.com/en_us/blog/tips-and-ricks/detecting-certificate-abuse-with-splunk-enterprise-security-and-stream.html
[3] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[4] https://www.wiz.io/blog/wiz-research-covovers-exposed-deepseek-database-leak
[5] https://emilianodc.com/papers/ijsn12.pdf
[6] https://securityaffairs.com/173666/data-breach/deepseek-db-exposed-highly-senstive-information.html
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://projectdiscovery.io/blog/a-hackers-guide-to-ssl-certificates-feating-tlsx
[9] https://faddom.com/ssl-certificate-onitoring-challenges-methods-and-best-praktices/