Filtración de datos de DeepSeek: Firma cibernética informa sobre datos expuestos en la web

En una reciente revelación de ciberseguridad, la firma de ciberseguridad con sede en Nueva York, Wiz, dijo que recientemente descubrió una base de datos de DeepSeek, una prominente empresa china de inteligencia artificial (IA), que fue expuesta inadvertidamente, filtrando datos sensibles, incluidos mensajes de chat e información personal de los usuarios, a internet abierto.

DeepSeek, fundada en Hangzhou en 2023, ha ascendido rápidamente en la industria de la IA debido a sus innovadores modelos de chatbot, particularmente el modelo de razonamiento DeepSeek-R1.

Este modelo de IA ha sido elogiado por su rendimiento, rivalizando con contrapartes estadounidenses como o1 de OpenAI mientras utiliza menos recursos.

En una publicación de blog publicada el miércoles, Wiz dijo que identificó una base de datos de ClickHouse accesible públicamente relacionada con DeepSeek.

La base de datos expuesta permitía un control completo sobre las operaciones de la base de datos, incluida la capacidad de acceder a datos internos. Incluía más de un millón de líneas de flujos de registro que contenían el historial de chat, claves secretas, detalles de backend y otra información altamente sensible.

“En cuestión de minutos, encontramos una base de datos de ClickHouse accesible públicamente vinculada a DeepSeek, completamente abierta y no autenticada, exponiendo datos sensibles. Estaba alojada en oauth2callback.deepseek.com:9000 y dev.deepseek.com:9000,” escribió la firma de ciberseguridad en su publicación de blog.

“Esta base de datos contenía un volumen significativo de historial de chat, datos de backend e información sensible, incluidos flujos de registro, secretos de API y detalles operativos.

“Más críticamente, la exposición permitió un control total de la base de datos y una posible escalada de privilegios dentro del entorno de DeepSeek, sin ninguna autenticación o mecanismo de defensa hacia el mundo exterior.”

Al descubrir la base de datos expuesta, el cofundador de Wiz, Ami Luttwak, dijo que su equipo de investigación divulgó de inmediato y de manera responsable el problema a DeepSeek, que luego aseguró rápidamente la base de datos.

“La eliminaron en menos de una hora,” dijo Luttwak. “Pero esto fue tan simple de encontrar que creemos que no somos los únicos que lo encontraron.”

Aunque DeepSeek actuó rápidamente para solucionar el problema, este descubrimiento ha suscitado preocupaciones significativas sobre la privacidad de los datos y el potencial de abuso por parte de entidades gubernamentales.

DeepSeek ha limitado actualmente las registraciones de usuarios debido a un ciberataque en curso. Hace solo 2 días, otra firma de ciberseguridad pudo hacer jailbreak a Deepseek.

Estos incidentes subrayan los crecientes desafíos para garantizar la seguridad y privacidad de los datos, particularmente con el rápido avance de las tecnologías de IA.

DeepSeek aún no ha comentado sobre el problema.