Deepseek, bir SSL sertifikasının tehlikeye girip girmediğini kontrol etmek için sağlam yöntemlere sahip görünmüyor. Aslında, uygulama SSL sertifikalarını doğrulayamadığı için eleştirildi, bu da onu kimliğe bürünme saldırılarına ve yetkisiz erişime karşı savunmasız hale getirdi [1] [3]. Bu doğrulama eksikliği, bilgisayar korsanlarının güvenilir sunucuları taklit etmesine ve giriş bilgileri ve kişisel veriler gibi hassas bilgileri kesmesine olanak tanır [1].
Meydan okulu SSL sertifikalarını etkili bir şekilde kontrol etmek için kuruluşlar genellikle manuel ve otomatik yöntemlerin bir kombinasyonunu kullanır. Otomatik araçlar, son kullanma, yapılandırma problemleri ve kriptografik zayıflıklar gibi konular için sertifikaları sürekli olarak izledikleri için özellikle etkilidir ve gerekli eylemler için gerçek zamanlı bildirimler sağlar [9]. Bununla birlikte, Deepseek'in bu tür önlemleri kullandığına dair bir gösterge yoktur.
Bunun yerine, Deepseek'in güvenlik açıkları, kimliğe bürünme saldırılarını önlemek için uygun SSL validasyonu ve sertifika sabitlemesinin uygulanması gerektiğini vurgulamaktadır. Bu, uygulamanın kodunda katı SSL doğrulama protokollerinin sağlanmasını ve SSL ile ilgili güvenlik açıklarını algılamak ve düzeltmek için düzenli penetrasyon testi yapmayı içerir [1]. Ayrıca, Splunk Enterprise Güvenliği gibi araçların entegre edilmesi, potansiyel tehditler için SSL/TLS sertifikalarını izlemeye ve analiz etmeye yardımcı olabilir [2].
Özetle, Deepseek, önemli güvenlik riskleri oluşturan tehlikeye atılmış SSL sertifikalarını kontrol etmek için sağlam yöntemler kullanmıyor gibi görünmektedir. Sağlam SSL validasyonunun uygulanması ve otomatik izleme araçlarından yararlanmak, güvenlik duruşunu artırmak için gerekli adımlar olacaktır.
Alıntılar:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://www.splunk.com/en_us/blog/tips-and-ricks/detecting-certificate-abuse-with-plunk-enterprise-security-tream.html
[3] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-eepseek-ai-app/
[4] https://www.wiz.io/blog/wiz-research-ungovers-isposed-deepseek-database-leak
[5] https://emilianodc.com/papers/ijsn12.pdf
[6] https://securityaftairs.com/173666/data-breach/deepseek-db-Exososos-highly-Sensitive-information.html
[7] https://securityscorecard.com/blog/a-depe-peek-at-deepseek/
[8] https://projectdiscovery.io/blog/a-vackers-guide-to-ssl-certificates-featuring-tlsx
[9] https://faddom.com/ssl-certificate-onitoring-challenges- ve-best-practicices/