إن استخدام مفاتيح التشفير المتشددين في تطبيقات DeepSeek يمثل العديد من المخاطر المهمة لأمن بيانات المستخدم والخصوصية. فيما يلي بعض المخاطر المحتملة المرتبطة بهذه الممارسة:
1. التعرض للبيانات واعتراضها: يمكن استخراج مفاتيح التشفير المتشددين بسهولة من رمز مصدر التطبيق ، مما يسمح للأطراف غير المصرح به للوصول إلى البيانات الحساسة وفك تشفيرها. هذا أمر يهم بشكل خاص لـ Deepseek ، لأنه يجمع بيانات المستخدم والجهاز الواسعة ، بما في ذلك أنماط ضغط المفاتيح ، والتي تنتقل إلى الخوادم في الصين [1] [3] [4]. إن استخدام خوارزميات التشفير القديمة مثل 3Des يزيد من تفاقم هذه الضعف ، حيث من المعروف أن هذه الخوارزميات غير آمنة [1] [3] [9].
2. عدم وجود دوران رئيسي: بمجرد كشف المفاتيح المتشددين ، لا يمكن تغييرها بسهولة. هذا يعني أنه حتى إذا تم اكتشاف الضعف ، فإن المفاتيح تظل مخطئة حتى يتم تحديث التطبيق ، والذي قد يستغرق وقتًا. هذا عدم القدرة على تدوير المفاتيح يزيد بسرعة من نافذة الضعف لخرقات البيانات [2] [8].
3. حقن SQL ومخاطر قاعدة البيانات: تواجه تطبيقات Deepseek أيضًا مخاطر حقن SQL ، والتي يمكن أن تسمح للمهاجمين بمعالجة استعلامات قاعدة البيانات. عند دمجها مع مفاتيح التشفير المتشددين ، يمكن أن يمكّن ذلك المهاجمين من الوصول إلى سجلات المستخدم الحساسة وفك تشفيرها المخزنة في قاعدة البيانات [1] [4] [7].
4. المخاوف السيادية للأمن القومي والبيانات: إن نقل بيانات المستخدم إلى الخوادم المرتبطة بالكيانات الصينية المملوكة للدولة يثير مخاوف بشأن سيادة البيانات والأمن القومي. إن مشاركة Bytedance ، الشركة الأم لـ Tiktok ، تزيد من تعقيد هذه القضايا بسبب ممارسات حوكمة البيانات في الصين ، والتي قد تشمل مراقبة غير مبررة [1] [3] [7].
5. تخزين البيانات غير الآمن: ممارسات تخزين Deepseek غير الآمنة ، بما في ذلك تخزين أسماء المستخدمين وكلمات المرور ومفاتيح التشفير ، تزيد من خطر سرقة بيانات الاعتماد. يمكن أن يؤدي ذلك إلى وصول غير مصرح به إلى حسابات المستخدمين وزيادة التسوية المعلومات الحساسة [3] [10].
6. التنميط السلوكي: يمكن استخدام جمع ديناميات ضغط المفاتيح وبيانات سلوك المستخدم الأخرى لإنشاء ملفات تعريف مفصلة للمستخدمين. هذا يثير مخاوف تتعلق بالخصوصية ، خاصةً عندما يتم نقل هذه البيانات إلى الكيانات التي قد تستخدمها لأغراض التتبع أو المراقبة [1] [4].
باختصار ، فإن استخدام مفاتيح التشفير المتشددين في تطبيقات Deepeek يزيد بشكل كبير من خطر انتهاك البيانات ، والوصول غير المصرح به ، وانتهاكات الخصوصية. تتفاقم هذه المخاطر من خلال ممارسات جمع البيانات الواسعة للتطبيق واتصالاتها بالكيانات ذات الآثار المحتملة للأمن القومي.
الاستشهادات:
]
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-cryptographic-ekey٪ef٪BF٪BC/
[3]
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-new-ne-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exposed-encryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7]
[8] https://docs.guardRails.io/docs/vulnerability-classes/hard-coded-secrets
[9]
[10]