Sikkerhedsforskere har afsløret, at den kinesiske AI-komets iOS-app deler data med Bytedance og sender brugerdata ukrypteret til sine egne servere.
Det er snart et par uger siden, at kinesiske DeepSeek sendte chokbølger gennem tech-verdenen og skar 600 millioner dollar af NVIDIAs aktieværdi ved at lancere et mere strøm- og data-effektivt alternativ til OpenAIs O1-model. Ræsonnerings-modellen DeepThink R1 var oven i købet gratis, hvor man modsat skulle være betalingskunde for at bruge O1.
Der gik dog ikke ret længe, før de forventelige historier om problemer med datasikkerheden og privatlivs-betingelserne dukkede op. Ligesom med TikTok og flere andre kinesiske tjenester, er vestlige dataprivatlivs-eksperter bekymrede over, hvor brugernes data ender henne – og hvem, der har adgang til dem.
Nu begynder de første reelle rapporter så at dukke op fra datasikkerheds-forskermiljøet. NowSecure undersøger datasikkerheden på mobile platforme og de apps, de er værter for. Firmaets eksperter har nu kigget datastrømmene ind og ud af DeepSeek-app’en på iOS i sømmene, og fundet en række risiko-faktorer.
Blandt et af de mere markante af slagsen er, hvem DeepSeek deler brugernes data med. Det har aldrig været nogen hemmelighed, at DeepSeek lagrer brugerdata på servere i Kina (hvilket formentlig strider mod GDPR-lovgivningen, eftersom EU og Kina stadig arbejder på en aftale omkring sikkerhed ved dataoverførsler).
”TikTok på steroider”
Men NowSecures undersøgelse viser, at DeepSeek også sender data til ByteDances servere. ByteDance er den kinesiske tech-gigant, der bl.a. ejer TikTok og dennes kinesiske version, Douyin. Det betyder i princippet, at DeepSeek giver anledning til de samme bekymringer for at den kinesiske regering kigger med over skulderen på brugerne, som det er tilfældet med TikTok.
Allerede inden NowSecures undersøgelse blev delt med verden, var der mistanke om at Kinas regering har adgang til følsomme brugerdata. Et andet sikkerhedsfirma, Canadiske Feroot, har ifølge AP fundet kode i DeepSeeks login-webside, der forbinder sig til teleselskabet China Mobiles infrastruktur. China Mobile er tæt forbundet med den kinesiske stat.
Det har, ligesom visse steder i Danmark, fået den amerikanske regering til at forbyde at brug af DeepSeek i det nationale, offentlige statsapparatur. Der ligger lige nu et lovforslag til behandling i den amerikanske kongres om et reelt forbud mod DeepSeek, og Utah-senatoren John Curtis kalder DeepSeek for ”TikTok på Steroider”.
Toppede app-hitlisterne
At den kinesiske stat kan få adgang til følsomme persondata er dog ikke det eneste, der bekymrer NowSecures sikkerhedsforskere. De peger også på, at dataoverførslerne mellem DeepSeeks egne servere og brugere af iOS ikke anvender Apples App Transport Security-protokoller. Overførslerne foretages ukrypteret.
Med andre ord skal hackere kun tiltuske sig adgang til at læse med på bitstrømmen for at få adgang til følsomme persondata. Det ekstra sikkerhedslag, som krypteringen giver, behøver de ikke bekymre sig om.
Lige nu er DeepSeek den tredjemest downloadede app til iOS i USA og Tyskland og nummer fire i Storbritannien. I sidste uge strøg DeepSeek til tops på iOS-hitlisten og sad der i flere dage. Succesen har været så stor for DeepSeek, at de har været nødsaget til at skrue kraftigt ned for ydelsen på AI-chatbotten for hver enkelt bruger.
