- Cybersicherheitsforscher entdeckten eine offene ClickHouse-Datenbank eines chinesischen KI-Start-ups mit über einer Million sensibler Datenzeilen. Die Datenbank ermöglichte tiefen Zugriff ohne Authentifizierung, bevor der Zugang gesichert wurde. Durch Sicherheitslücken könnte auf sensible Protokolle, Chatnachrichten und Passwörter zugegriffen werden. Der Medienwirbel um das Start-up führte zu der Entdeckung im Rahmen einer Sicherheitsüberprüfung. Sicherheitslücken in Apple-Geräten betonen die Notwendigkeit robuster Abwehrmechanismen in vernetzten Umgebungen.
Cybersicherheitsforscher haben eine öffentlich zugängliche ClickHouse-Datenbank eines chinesischen KI-Start-ups entdeckt, die über eine Million sensibler Datenzeilen enthält. Diese Datenbank offerierte den Forschern den vollständigen Zugriff auf ihre Operationen. Nachdem die Entdeckung geteilt wurde, wurde der Zugang gesichert. Jedoch bestand die Möglichkeit, dass Gegner davor in sensiblen Daten gestöbert haben könnten. Der Ethikkodex der Forscher lässt keine tiefen Einblicke in entdeckte Datenbanken zu, doch es wurde festgestellt, dass Angreifer ihre Berechtigungen eskalieren könnten, um sensible Protokolle, Chatnachrichten, Passwörter und lokale Dateien zu extrahieren – und das alles ohne jegliche Authentifizierung.
Verkettete Sicherheitslücken
Der Grund für das gezielte Augenmerk lag in dem großen Medienwirbel um das Start-up, welches die Außenhülle seiner Sicherheitsstruktur überprüfen wollte. Überraschenderweise tauchte die ClickHouse-Datenbank nach nur wenigen Minuten einfacher Suche auf, und die Forscher konnten sie über den HTTP-Interface von ClickHouse geografisch kartieren. Anschließend gelang es ihnen, mit einer einfachen “SHOW TABLES;-Anfragen” eine Liste abrufbarer Datensätze zu ermitteln, darunter der „log_steam“-Tisch mit zahlreichen sensiblen Informationszeilen.
Wiz veröffentlichte einen Bericht, der vor der mitreißenden Geschwindigkeit der KI-Entwicklung warnt. Es wird aufgezeigt, dass der Druck zur schnellen Produktentwicklung gefährliche Sicherheitspraktiken forcieren kann. Angesichts der immensen Menge vertraulicher Daten, die von diesen Programmen gehandhabt werden, sollten die ergriffenen Sicherheitsmaßnahmen so robust sein wie die von global agierenden Cloud-Dienstleistern.
Reaktionen der Industrie
Microsoft, als ein Hauptinvestor von OpenAI, überprüft aktuell, ob DeepSeek unerlaubte Methoden zur Schulung ihrer Modelle verwendet hat. Gerüchten zufolge glaubt das Unternehmen, dass DeepSeek die Servicebedingungen durch die Nutzung der OpenAI-API verletzt haben könnte. Diese Untersuchung zeigt das engmaschige Netzwachstum und die zunehmende interne Konkurrenz der KI-Industrie. Parallel dazu entdeckten Sicherheitsforscher Sicherheitslücken in Apple-Geräten mit M2 oder A15 Chips. Diese Fehler, benannt SLAP und FLOP, ermöglichen es Angreifern, die offene Browser-Tabs von Nutzern zu kompromittieren. Dies ist keine Software-Schwachstelle, sondern eine Architekturproblematik, die CPUs für Angriffe durch Seitenkanäle empfindlich macht.
Solche Schwachstellen zeigen, wie entscheidend es ist, eine vernetzte Umgebung mit robusten Abwehrmechanismen zu schützen, um Angreifern ihre Angriffsvektoren zu verwehren. Die KI-Entwicklungen müssen durch kontinuierliche Sicherheitsanalysen und aktualisierte Schutzprotokolle flankiert werden, um die Datenintegrität und den Datenschutz zu gewährleisten.
