Base de datos DeepSeek filtraba información confidencial
Wiz Research ha descubierto una falla (ya corregida) de seguridad importante en DeepSeek, que exponía una base de datos que contiene información confidencial de los usuarios y datos internos.
La base de datos expuesta de ClickHouse (aplicación de BD Open Source que permite generar informes de datos analíticos en tiempo real) a la que se podía acceder sin autenticación, contenía más de un millón de entradas de registro, incluido el historial de chat, claves de API, detalles del backend y otra información confidencial.
La base de datos estaba alojada en oauth2callback.deepseek[.]com (8123/9000) y dev.deepseek[.]com (8123/9000), completamente abierta y sin autenticación. Esto permitió la ejecución directa de consultas SQL arbitrarias a través del navegador, lo que expuso un volumen significativo de datos confidenciales.

Los datos expuestos incluían:
- Historial de chat: registros de texto sin formato de conversaciones de usuarios con los modelos de inteligencia artificial de DeepSeek.
- Claves de API: claves secretas utilizadas para acceder e interactuar con la API de DeepSeek.
- Detalles del backend: información interna sobre la infraestructura y las operaciones de DeepSeek.
- Metadatos operativos: registros y detalles sobre los procesos internos de DeepSeek.
La exposición permitió el control total de la base de datos y el posible escalamiento de privilegios dentro del entorno de DeepSeek, sin ningún mecanismo de autenticación o defensa hacia el mundo exterior. Los atacantes podrían haber exfiltrado contraseñas en texto plano y archivos locales junto con información confidencial.
Wiz Research reveló el problema de manera inmediata y responsable a DeepSeek, que rápidamente solucionó la exposición. A medida que los modelos de IA se vuelven más sofisticados y ampliamente utilizados, es crucial que los desarrolladores y las organizaciones prioricen la seguridad y la privacidad para proteger los datos de los usuarios y evitar un posible uso indebido.
Fuente: Wiz
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!