Duh, Peneliti Sebut Jutaan Data Pengguna DeepSeek Bocor
NEW YORK, investortrust.id - Jutaan data internal sensitif pengguna DeepSeek dilaporkan bocor. Data termasuk riwayat percakapan pengguna, kunci API, dan detail operasional backend, bocor ke publik akibat kesalahan konfigurasi sistem.
Dikutip dari Reuters, Jumat (31/1/2025), temuan ini dipublikasikan oleh perusahaan keamanan cloud Wiz pada tengah pekan lalu. Kebocoran diduga berasal dari database ClickHouse yang dapat diakses tanpa autentikasi melalui dua subdomain milik DeepSeek.
Akibatnya, siapa pun yang mengetahui alamat database tersebut bisa dengan mudah mengakses log internal sejak 6 Januari. Namun DeepSeek kabarnya segera mengamankan database dalam hitungan jam setelah diberi tahu oleh tim peneliti Wiz.
Dalam laporan yang sama disebutkan, Wiz menemukan celah keamanan ini saat melakukan pemantauan rutin terhadap aset internet DeepSeek. Mereka menemukan dua port non-standar (8123 dan 9000) yang mengarah ke database ClickHouse, sebuah sistem manajemen database open-source yang dioptimalkan untuk pemrosesan kueri analitik dalam jumlah besar.
Setelah mengakses database tersebut, Wiz menyebut mampu menjalankan berbagai perintah SQL untuk mendapatkan data seperti riwayat chat pengguna, kunci API dan informasi kriptografi, struktur direktori server, hingga referensi ke endpoint API internal.
Baca Juga
Peneliti Wiz memperingatkan bahwa peretas bisa saja melakukan perintah serupa untuk mengekstrak file langsung dari server DeepSeek. Ini dikhawatirkan akan menyebabkan penyalahgunaan data pribadi, yang berpotensi membahayakan keamanan data dan infrastruktur DeepSeek.
Masalah Keamanan DeepSeek Semakin Disorot
CyberScoop menyebut, popularitas DeepSeek dalam industri AI membawa perhatian lebih terhadap standar keamanannya. Beberapa hari sebelum kebocoran ini terungkap, DeepSeek mengaku mengalami kesulitan dalam menerima pengguna baru karena serangan siber berskala besar yang menargetkan layanannya.
Selain itu, perusahaan intelijen ancaman siber asal Israel, Kela, menyebut bahwa chatbot DeepSeek-R1 lebih rentan terhadap peretasan dibandingkan ChatGPT milik OpenAI. Menurut laporan Kela, tim mereka berhasil membobol model AI DeepSeek-R1 di berbagai skenario.
Kela menyebut bahwa kelemahan ini bisa dimanfaatkan oleh peretas atau kelompok kriminal siber untuk tujuan ilegal. Namun sampai saat ini DeepSeek belum memberikan tanggapan terkait temuan tersebut.
Baca Juga
DeepSeek Bikin Geger, SoftBank Bakal Investasi Jumbo untuk OpenAI
Dalam laporan blognya, Wiz menyoroti betapa pesatnya perkembangan industri AI, yang sayangnya tidak selalu diikuti dengan standar keamanan yang memadai. "Dunia belum pernah melihat teknologi diadopsi secepat AI," tulis Wiz.
Sebelumnya, DeepSeek juga sudah diblokir di sejumlah negara Eropa seperti Italia dan Irlandia. Kedua negara tersebut mempertanyakan penggunaan data pribadi pengguna oleh DeepSeek.
Sementara itu pemerintah Jerman juga memantau penggunaan DeepSeek terkait kemungkinan pengaruh terhadap pemilu nasional yang akan berlangsung pada 23 Februari mendatang. Seorang juru bicara kementerian dalam negeri Jerman menyatakan bahwa pihak berwenang sedang mengawasi potensi manipulasi dan intervensi dalam pembentukan opini publik melalui teknologi AI. (C-13)