DeepSeek expõe banco de dados na internet com dados sensíveis de usuários

Uma empresa de segurança descobriu que a DeepSeek deixou um banco de dados da plataforma ClickHouse publicamente acessível, sem qualquer autenticação, permitindo acesso irrestrito a informações sensíveis. Entre os dados expostos estavam históricos de conversas com o chatbot da DeepSeek, armazenados em texto puro, chaves de API, dados operacionais do backend e registros internos, os quais totalizam mais de um milhão de entradas.

Além da exposição dos dados, a ausência de medidas de segurança permitia que um invasor assumisse o controle total do banco de dados e até escalasse privilégios dentro do ambiente da DeepSeek. Os pesquisadores demonstraram ser possível executar comandos SQL diretamente pelo navegador, acessando uma lista completa das tabelas disponíveis. Dependendo da configuração do ClickHouse, um invasor poderia até extrair senhas em texto puro, arquivos locais e dados proprietários da empresa.

Após ser notificada, a DeepSeek corrigiu a vulnerabilidade rapidamente.