La inteligencia artificial (IA) de DeepSeek lidera las listas de descargas en App Store y Google Play Store por su notable popularidad durante los últimos días. Sin embargo, con tanta fama también vienen algunos riesgos como el tema de la seguridad de los datos de los usuarios.
El nuevo rival de ChatGPT sufría a principios de semana un ciberataque que obligaba a limitar el registro de nuevos usuarios. Dos días después, investigadores de Wiz explican en un artículo la facilidad con la que les ha sido posible acceder a una base de datos de los usuarios.
Los investigadores de seguridad de Wiz Research descubrieron que una base de datos de DeepSeek quedó completamente desprotegida en Internet. Esto llevó a la exposición de datos confidenciales de los usuarios e información interna de la empresa.
TE PUEDE INTERESAR: iOS 18.3 permite a los iPhone conectarse a los satélites Starlink
DeepSeek permite el acceso sin restricciones a datos confidenciales
- La base de datos expuesta de ClickHouse contenía más de un millón de conjuntos de datos, con información muy privada.
- La filtración incluía registros de chat completos, claves API internas y detalles profundos del sistema de DeepSeek.
- La base de datos comprometida, alojado en oauth2callback.deepseek[.]con:9000 y dev.deepseek[.]con:9000, permitió la entrada sin restricciones a un amplio espectro de datos confidenciales.
- Los investigadores de Wiz advirtieron que la exposición podría haber llevado al control total de la base de datos, no autorizado escalada de privilegios, y explotación de datos – Sin necesidad de ninguna autenticación.
- Según una publicación de blog de Wiz Research, el equipo de seguridad descubrió la base de datos desprotegida en cuestión de minutos mientras realizaba una verificación de rutina de la postura de seguridad externa de DeepSeek.
- Los investigadores enfatizaron que, si bien tales vulnerabilidades no son infrecuentes, la escala y la gravedad de este incidente son particularmente preocupantes.
- DeepSeek actuó rápidamente para abordar el problema, cerrando la vulnerabilidad una hora después de recibir la notificación. Sin embargo, no está claro si terceros no autorizados accedieron a los datos durante el tiempo que estuvieron expuestos.
Foto: Wiz Research.