Es noticia
BitcoinSP500JP MorganXRPMario Kart 9AppleAMD

Descubierta grave vulnerabilidad en DeepSeek que expone datos sensibles

TecnologíaDeepseek

Descubierta grave vulnerabilidad en DeepSeek que expone datos sensibles

Una grave vulnerabilidad en la plataforma de chat DeepSeek expuso datos sensibles de más de un millón de registros, incluyendo historiales de chat y secretos de API.

Laura Pinós
Publicado: 30-01-2025 09:29
Descripción

Recientemente, se ha revelado una grave vulnerabilidad de seguridad en DeepSeek, la popular plataforma de chat. Según una investigación realizada por Wiz, los registros de más de un millón de líneas, que incluían historiales de chat, secretos de API y detalles del backend, fueron expuestos en Internet debido a una base de datos ClickHouse sin asegurar. Lo más alarmante es que los atacantes no necesitaban ninguna contraseña para acceder a esta información sensible.

El problema se originó porque la base de datos estaba configurada de tal manera que permitía acceso desde un host local abierto a la red. Esta situación permitió que partes maliciosas pudieran acceder a los datos internos de la base de datos. Aunque el problema ya ha sido resuelto, ha causado un daño significativo a la reputación de DeepSeek, una aplicación ampliamente utilizada, que se esperaba siguiera las mejores prácticas de seguridad.

Los investigadores de Wiz, motivados por el aumento en la popularidad de DeepSeek, decidieron realizar pruebas de seguridad en el chatbot y pronto localizaron la base de datos vulnerable. Esta estaba completamente abierta y no requería autenticación alguna. “Este nivel de acceso representó un riesgo crítico para la seguridad de DeepSeek y sus usuarios finales,” afirmó Wiz. Los atacantes no solo podían recuperar registros sensibles y mensajes de chat en texto plano, sino que también podrían exfiltrar contraseñas en texto plano y archivos locales, junto con información propietaria directamente del servidor mediante consultas.

Wiz enfatiza que la adopción de estas herramientas de inteligencia artificial implica confiar información sensible a startups, y que a menudo se olvida la seguridad durante este proceso de rápida adopción. Proteger los datos del cliente debería ser una prioridad, por lo que recomiendan una colaboración entre equipos de seguridad e ingenieros de AI para garantizar la visibilidad en la arquitectura, las herramientas y los modelos utilizados.