Moltbook Hacker revela una importante brecha en la base de datos que expone a figuras de la industria de la IA

Un investigador de seguridad que actuaba como hacker ha descubierto una vulnerabilidad crítica en la infraestructura de Moltbook, revelando que toda la base de datos de la plataforma está accesible al público sin ninguna encriptación ni barreras de autenticación. Este hallazgo, reportado por Odaily, representa uno de los incidentes de seguridad más graves que han afectado a plataformas centradas en IA en los últimos meses.

Cómo el hacker identificó la vulnerabilidad

El hacker enfocado en seguridad, Jamieson O’Reilly, encontró acceso sin restricciones a la base de datos mientras investigaba la plataforma Moltbook. En lugar de explotar la vulnerabilidad para beneficio propio, O’Reilly intentó inmediatamente alertar a los desarrolladores de Moltbook sobre la exposición. El incidente subraya lo crítico que puede ser que las fallas de seguridad permitan que millones de usuarios y figuras de alto perfil estén en riesgo de ataques dirigidos.

La evaluación técnica del hacker: claves API y bypass de autenticación

Los datos filtrados contienen algo mucho más peligroso que credenciales de usuario: claves API expuestas que funcionan como llaves maestras para los sistemas de la plataforma. Estas credenciales permiten a los atacantes suplantar a cualquier usuario, incluyendo cuentas verificadas y agentes de la plataforma. Esta falla de seguridad esencialmente elude la capa de autenticación que normalmente protege las cuentas de usuario, transformando una filtración de datos en un vector de amenaza activo.

La brecha afecta a numerosos investigadores destacados en IA y figuras de la industria, especialmente a Karpathy, cuya cuenta tiene 1.9 millones de seguidores en X. Con acceso API comprometido, un actor malintencionado podría publicar contenido en estas cuentas de alto perfil sin ser detectado, potencialmente difundiendo desinformación a gran escala.

Escenarios de ataque posibles por esta vulnerabilidad

Las claves API expuestas abren múltiples vías de ataque que van más allá de simples tomas de control de cuentas:

• Sabotaje de Seguridad en IA: Los estafadores podrían publicar declaraciones falsas sobre seguridad en IA y recomendaciones de gobernanza bajo el nombre de Karpathy u otros investigadores respetados, engañando a la comunidad de IA en general
• Fraude Financiero: Los atacantes podrían aprovechar estas cuentas para promover esquemas de criptomonedas o estafas de inversión, explotando la confianza que estos personajes han construido
• Manipulación Política: Las cuentas de alto perfil podrían ser utilizadas para difundir campañas de desinformación política, amplificadas por su número de seguidores

Respuesta urgente requerida

O’Reilly ha solicitado una intervención inmediata por parte de los equipos de seguridad, los mantenedores de la plataforma y las partes interesadas relevantes para contactar a los fundadores de Moltbook y remediar esta exposición. Cuanto más tiempo la base de datos permanezca accesible públicamente, mayor será el riesgo de que actores malintencionados exploten estas claves API para ataques coordinados. Este incidente sirve como un recordatorio contundente de que incluso las plataformas enfocadas en la innovación en IA necesitan fundamentos de seguridad robustos para proteger a sus usuarios y al ecosistema digital en general.