Puertas abiertas para hackers: DeepSeek dejó datos confidenciales expuestos en la red

Investigadores de Wiz Research descubrieron una base de datos ClickHouse abierta que contenía más de un millón de registros con información confidencial de los usuarios del asistente de IA chino DeepSeek. Los datos expuestos incluían chats sin cifrar, claves secretas, registros, así como datos del backend y servidores.

"Hicimos un reconocimiento de la infraestructura pública de DeepSeek y encontramos una base de datos que no requería ninguna autenticación. Esto significaba que cualquier persona podía acceder a registros con mensajes de chat reales, secretos internos y datos del sistema", explicaron los especialistas de Wiz Research.

Tras detectar la vulnerabilidad, el equipo de Wiz informó inmediatamente a DeepSeek, y la empresa restringió el acceso y eliminó la base de datos de la red.

Política de privacidad en duda

Se descubrió que la base de datos ClickHouse estaba accesible en los servidores oauth2callback.deepseek.com:9000 y dev.deepseek.com:9000. Este incidente plantea serias dudas sobre las medidas de protección de datos que DeepSeek afirma implementar. Según su política de privacidad, toda la información de los usuarios se almacena en servidores seguros en China. Sin embargo, los expertos encontraron que los datos personales de los usuarios, incluidas direcciones IP, registros, información del dispositivo, cookies, informes de fallos y patrones o ritmos de pulsación de teclas, permanecen en los servidores de DeepSeek incluso después de eliminar una cuenta.

La empresa Wiz Research, especializada en ciberseguridad desde 2020, continúa monitoreando los servicios en la nube en busca de vulnerabilidades. Mientras tanto, el caso de DeepSeek vuelve a plantear preocupaciones sobre la seguridad de los datos personales en los servicios de IA.