La startup china de inteligencia artificial DeepSeek dejó expuesta una de sus bases de datos en internet, lo que permitió el acceso no autorizado a información sensible. La base de datos expuesta otorgaba control total sobre las operaciones de la base de datos, incluyendo la capacidad de acceder a datos internos.
La exposición incluía más de un millón de líneas de registros que contenían historiales de chat, claves secretas, detalles de la infraestructura y otra información altamente sensible, como secretos de API y metadatos operativos.
Tras ser contactado por la firma de seguridad Wiz, DeepSeek solucionó la vulnerabilidad. La base de datos permitía el acceso no autenticado a una amplia gama de información. Wiz señaló que esto permitía un control completo de la base de datos y una posible escalada de privilegios dentro del entorno de DeepSeek sin requerir autenticación.
Este incidente destaca los riesgos asociados con la adopción rápida de servicios de IA sin medidas de seguridad adecuadas. Es crucial que los equipos de seguridad trabajen estrechamente con los ingenieros de IA para proteger los datos y prevenir exposiciones accidentales.
Fuente: The Hacker News