Ứng dụng DeepSeek không gửi hoặc lưu trữ dữ liệu một cách an toàn

Có khả năng cao là bạn đã nghe nói đến DeepSeek, mô hình AI gần đây đã tạo nên làn sóng mới trong lĩnh vực công nghệ. Mặc dù mọi người đã tải xuống ứng dụng này rất nhiều, nhưng hóa ra nó lại có một số vấn đề nghiêm trọng về quyền riêng tư.

DeepSeek không mã hóa đúng cách lưu lượng truy cập hoặc lưu trữ dữ liệu đăng nhập an toàn

Theo báo cáo của NowSecure, DeepSeek có một số vấn đề nghiêm trọng về quyền riêng tư trong cách xử lý dữ liệu của bạn. Sau đây là một số lỗi mà NowSecure đã phát hiện ra:

• Truyền dữ liệu không được mã hóa: Ứng dụng truyền dữ liệu nhạy cảm qua Internet mà không được mã hóa, khiến dữ liệu dễ bị chặn và thao túng.
• Khóa mã hóa yếu và được hardcode: Sử dụng mã hóa Triple DES lỗi thời, sử dụng lại các vectơ khởi tạo và hardcode các khóa mã hóa, vi phạm những biện pháp bảo mật tốt nhất.
• Lưu trữ dữ liệu không an toàn: Tên người dùng, mật khẩu và khóa mã hóa được lưu trữ không an toàn, làm tăng nguy cơ bị đánh cắp thông tin xác thực.

Điều này khá tệ đối với một ứng dụng đã đạt đến vị trí hàng đầu trong bảng xếp hạng tải xuống trên thiết bị di động. Ít nhất, DeepSeek nên mã hóa dữ liệu khi nó được gửi đi, nhưng xét đến việc dữ liệu này được mọi người nhìn thấy, nó cho phép tin tặc sử dụng các cuộc tấn công trung gian (MITM) và theo dõi những gì đang được gửi đi.

DeepSeek gặp sự cố rò rỉ dữ liệu

DeepSeek đang có những bước tiến vượt bậc trên thị trường AI, khi mẫu R1 của họ nhanh chóng đưa ứng dụng này lên vị trí số một trên cả App Store và Google Play Store. Tuy nhiên, nếu bạn đã thử sử dụng DeepSeek trong tuần này, thì hãy lưu ý rằng dữ liệu cuộc trò chuyện của bạn có thể đã bị rò rỉ.

Theo The Hacker News, DeepSeek đã để lộ một cơ sở dữ liệu trực tuyến của mình, khiến hàng triệu bản ghi nhật ký có nguy cơ bị truy cập trái phép. Dù công ty đã phát hành bản vá, nhưng dữ liệu bị lộ bao gồm lịch sử trò chuyện, khóa mã hóa bảo mật, thông tin backend và nhiều dữ liệu quan trọng khác.

Tính đến thời điểm này, DeepSeek cho biết họ vẫn đang tiếp tục điều tra, dù lỗi bảo mật đã được khắc phục vào ngày 29/1.

Vẫn chưa rõ liệu có bên nào đã lợi dụng lỗ hổng này để truy cập cơ sở dữ liệu của DeepSeek hay không. Tuy nhiên, các chuyên gia bảo mật xác nhận rằng lỗ hổng này có thể cho phép kiểm soát toàn bộ dữ liệu và tăng quyền truy cập trong mạng lưới của DeepSeek mà không cần xác thực.

Điều này đặt ra mối lo ngại lớn về quyền riêng tư và bảo mật, nhất là khi hàng triệu người dùng đã đổ xô sử dụng DeepSeek chỉ trong thời gian ngắn.

Một trong những điểm gây tranh cãi lớn nhất về DeepSeek là lượng dữ liệu mà ứng dụng này thu thập. Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, nền tảng này còn thu thập những thông tin đáng lo ngại hơn như mẫu gõ phím và nhịp điệu gõ phím của người dùng.

Tại sao một ứng dụng AI lại cần biết không chỉ nội dung bạn nhập, mà cả cách bạn nhập nó?

Chưa dừng lại ở đó, DeepSeek là công ty Trung Quốc, đồng nghĩa với việc toàn bộ dữ liệu người dùng được lưu trữ trên các máy chủ tại Trung Quốc. Theo luật pháp nước này, các công ty nội địa có nghĩa vụ cung cấp dữ liệu cho chính phủ khi được yêu cầu, đây cũng chính là một trong những lý do khiến Mỹ cấm TikTok.

Dù chưa có bằng chứng nào cho thấy DeepSeek đã chia sẻ dữ liệu với chính phủ Trung Quốc, nhưng lỗ hổng bảo mật lần này cho thấy một viễn cảnh rủi ro đối với công ty AI non trẻ này.

DeepSeek có thể đang nổi đình đám trên các kho ứng dụng, nhưng sự cố rò rỉ lần này chắc chắn sẽ khiến nhiều người phải suy nghĩ lại về mức độ an toàn của nó.

Người dùng cần làm gì?

Nếu bạn đang sử dụng hoặc có ý định dùng thử DeepSeek, hãy cân nhắc kỹ lưỡng. Dữ liệu của bạn có thể không được bảo vệ một cách chặt chẽ như bạn mong đợi. Trước khi sử dụng bất kỳ nền tảng AI nào, hãy kiểm tra chính sách bảo mật của họ và đảm bảo bạn không chia sẻ thông tin nhạy cảm qua các ứng dụng này.

Nếu thực sự muốn dùng thử DeepSeek, bạn vẫn có thể. Tuy nhiên, nên thực hiện các bước sau để đảm bảo không có điều gì xấu xảy ra:

• Không bao giờ chia sẻ dữ liệu cá nhân với DeepSeek. Đây là một thông lệ tốt với bất kỳ chatbot AI nào, nhưng nó còn đúng gấp đôi đối với DeepSeek vì mọi người có thể nhìn thấy những gì bạn gửi.
• Sử dụng thông tin đăng nhập duy nhất cho DeepSeek. Xét đến việc DeepSeek không lưu trữ thông tin đăng nhập của bạn một cách an toàn, bạn nên tạo thông tin đăng nhập duy nhất cho dịch vụ này. Một lần nữa, tạo mật khẩu mới cho mọi trang web bạn sử dụng là một thông lệ tốt, nhưng nếu bạn không có thói quen làm như vậy, hãy bắt đầu ngay bây giờ. Theo cách đó, nếu DeepSeek bị vi phạm dữ liệu, tin tặc sẽ không lấy được mật khẩu bạn sử dụng cho mọi tài khoản trên Internet.
• Không sử dụng DeepSeek trên thiết bị nhạy cảm. Nếu bạn sở hữu thiết bị của công ty hoặc chính phủ, đừng cài đặt DeepSeek trên đó. Khi các ứng dụng phổ biến như DeepSeek có lỗ hổng bảo mật, tin tặc sẽ nhanh chóng tìm ra lỗ hổng và đánh cắp dữ liệu. Sử dụng DeepSeek trên thiết bị nhạy cảm có thể khiến thông tin bí mật bị rò rỉ.

Mặc dù DeepSeek rất phổ biến, nhưng nó cũng đi kèm với một số vấn đề về quyền riêng tư. Nếu bạn muốn tiếp tục sử dụng, hãy đảm bảo rằng bạn không liên kết bất kỳ thông tin nhạy cảm nào với ứng dụng.