Wiz Research ha identificado una base de datos ClickHouse de acceso público perteneciente a DeepSeek, la cual permitía un control total sobre sus operaciones, incluyendo el acceso a datos internos. La exposición incluía más de un millón de líneas de registros, que contenían historial de chats, claves secretas, detalles del backend y otra información altamente sensible.
El equipo de investigación de Wiz notificó de manera inmediata y responsable a DeepSeek, que actuó rápidamente para asegurar la base de datos.
En esta publicación del blog, detallaremos nuestro descubrimiento y analizaremos las implicaciones más amplias para la industria en general.
Resumen Ejecutivo
DeepSeek, una startup china de inteligencia artificial, ha ganado recientemente una gran atención en los medios gracias a sus innovadores modelos de IA, en particular su modelo de razonamiento DeepSeek-R1. Este modelo compite con sistemas líderes como OpenAI’s o1 en términos de rendimiento, destacándose por su eficiencia y rentabilidad.
A medida que DeepSeek cobraba relevancia en el sector de IA, el equipo de Wiz Research decidió evaluar su postura de seguridad externa en busca de posibles vulnerabilidades.
En cuestión de minutos, encontramos una base de datos ClickHouse de acceso público vinculada a DeepSeek, completamente abierta y sin autenticación, exponiendo información sensible. Esta base de datos estaba alojada en:
oauth2callback.deepseek.com:9000dev.deepseek.com:9000
La base de datos contenía grandes volúmenes de historial de chats, datos del backend e información sensible, incluyendo flujos de registros, claves API y detalles operativos.
Más preocupante aún, esta exposición permitía control total sobre la base de datos y la posibilidad de una escalada de privilegios dentro del entorno de DeepSeek, sin ningún mecanismo de autenticación o defensa.
Descripción de la exposición
Nuestra investigación comenzó evaluando los dominios de acceso público de DeepSeek. Utilizando técnicas de reconocimiento pasivo y activo para mapear la superficie de ataque externa, identificamos aproximadamente 30 subdominios expuestos a Internet. La mayoría de ellos parecían benignos, alojando interfaces de chatbot, páginas de estado y documentación de API, sin indicios iniciales de una exposición de alto riesgo.
Sin embargo, al ampliar nuestra búsqueda más allá de los puertos HTTP estándar (80/443), detectamos dos puertos inusuales y abiertos (8123 y 9000) en los siguientes hosts:
http://oauth2callback.deepseek.com:8123http://dev.deepseek.com:8123http://oauth2callback.deepseek.com:9000http://dev.deepseek.com:9000
Tras una inspección más profunda, estos puertos conducían a una base de datos ClickHouse expuesta públicamente, sin ninguna autenticación, lo que representaba una seria vulnerabilidad de seguridad.
ClickHouse es un sistema de gestión de bases de datos columnar de código abierto, diseñado para consultas analíticas rápidas en grandes volúmenes de datos. Desarrollado por Yandex, es ampliamente utilizado para procesamiento de datos en tiempo real, almacenamiento de registros y análisis de big data, lo que convierte esta exposición en un hallazgo altamente valioso y sensible.
Acceso a la base de datos y exposición de datos sensibles
Aprovechando la interfaz HTTP de ClickHouse, accedimos a la ruta /play, lo que permitió la ejecución directa de consultas SQL arbitrarias desde un navegador. Al ejecutar una simple consulta se devolvió una lista completa de los conjuntos de datos accesibles.
Registros filtrados
Entre las tablas disponibles, una en particular destacó por su alto nivel de sensibilidad:
log_stream, que contenía más de 1 millón de entradas de registros, con columnas particularmente críticas, tales como:
- timestamp – Logs dating from January 6, 2025
- span_name – References to various internal DeepSeek API endpoints
- string.values – Plaintext logs, including Chat History, API Keys, backend details, and operational metadata
- _service – Indicating which DeepSeek service generated the logs
- _source – Exposing the origin of log requests, containing Chat History, API Keys, directory structures, and chatbot metadata logs
Este nivel de acceso suponía un riesgo crítico para la propia seguridad de DeepSeek y para sus usuarios finales. Un atacante no sólo podría recuperar registros confidenciales y mensajes de chat en texto plano, sino que también podría filtrar contraseñas en texto plano y archivos locales junto con información confidencial directamente desde el servidor mediante consultas como: SELECT * FROM file(‘filename’) dependiendo de la configuración de ClickHouse.
(Nota: No ejecutamos consultas intrusivas más allá de la enumeración, en cumplimiento con nuestras prácticas éticas de investigación).
Conclusiones clave
La rápida adopción de servicios de IA sin medidas de seguridad adecuadas es inherentemente riesgosa. Esta exposición deja claro que las amenazas inmediatas a la seguridad de las aplicaciones de IA provienen de la infraestructura y herramientas subyacentes, más que de ataques impulsados por la propia IA.
Si bien gran parte de la discusión sobre seguridad en IA se centra en amenazas futuristas, los peligros reales suelen surgir de errores básicos, como la exposición accidental de bases de datos externas. Estas fallas de seguridad fundamentales deben seguir siendo una prioridad absoluta para los equipos de seguridad.
A medida que las organizaciones adoptan herramientas y servicios de IA de un número creciente de startups y proveedores, es fundamental recordar que, al hacerlo, estamos confiando a estas empresas datos sensibles.
El ritmo acelerado de adopción de estas tecnologías a menudo lleva a descuidar la seguridad, pero la protección de los datos de los clientes debe ser la principal prioridad. Es esencial que los equipos de seguridad trabajen estrechamente con los ingenieros de IA para garantizar visibilidad en la arquitectura, herramientas y modelos utilizados, de manera que podamos proteger los datos y prevenir exposiciones.
Conclusión
El mundo nunca ha visto una tecnología adoptada tan rápidamente como la inteligencia artificial. Muchas empresas de IA han crecido aceleradamente hasta convertirse en proveedores de infraestructura crítica, sin los marcos de seguridad adecuados que normalmente acompañan una adopción tan generalizada.
A medida que la inteligencia artificial se integra profundamente en las empresas de todo el mundo, la industria debe reconocer los riesgos inherentes al manejo de datos sensibles y establecer prácticas de seguridad equivalentes a las requeridas para los proveedores de nube pública y principales proveedores de infraestructura.