Investigadores de seguridad descubrieron en que una base de datos ClickHouse de DeepSeek quedó expuesta públicamente sin autenticación, permitiendo el acceso a más de un millón de líneas con historiales de chat, claves y secretos criptográficos.
Puntos clave
- La base ClickHouse de DeepSeek estuvo accesible sin autenticación, según investigadores.
- Se accedió a más de 1 millón de líneas que incluían historiales de chat en texto plano.
- También se hallaron claves API, secretos criptográficos y metadatos operacionales.
- Expertos alertaron sobre el riesgo de espionaje corporativo y escalada de privilegios.
- El incidente evidenció priorización del desarrollo sobre controles mínimos de seguridad.
Exposición de la base ClickHouse de DeepSeek
La fuga fue detectada por investigadores de seguridad que revisan repositorios y servicios públicos. El acceso no requería autenticación, lo que permitió la extracción masiva de registros internos.
El hallazgo ocurrió en , cuando los especialistas identificaron la instancia expuesta y documentaron el contenido disponible para cualquier usuario.
Datos comprometidos y riesgos técnicos
Entre la información expuesta se encontraron historiales de chat en texto plano, que pueden contener conversaciones sensibles de usuarios y personal.
Los investigadores también localizaron claves API y secretos criptográficos; estos elementos facilitan la escalada de privilegios dentro de la infraestructura si son reutilizados o no rotados.
Tipos de información identificada
Los elementos reportados incluyen credenciales técnicas, metadatos operacionales y registros de actividad. La presencia de secretos y claves incrementa el riesgo de acceso no autorizado a otros sistemas conectados.
Evaluación externa: seguridad y prácticas de desarrollo
Especialistas señalaron que el fallo es un error básico de configuración que pudo facilitar espionaje corporativo y movimientos laterales dentro de la red. Indicaron que controles de autenticación y segmentación habrían limitado el alcance.
La revisión pública del incidente también acusó que DeepSeek priorizó la velocidad de desarrollo por encima de mecanismos mínimos para el manejo de datos sensibles. Esa observación reforzó la percepción de incumplimiento de estándares básicos de seguridad.
