Una importante filtración de datos ha comprometido la información personal de cientos de participantes del programa Canva Creators. Esta exposición ocurrió debido a una base de datos de chatbot de IA no segura, operada por una empresa rusa.
Este incidente subraya las vulnerabilidades de seguridad emergentes que están surgiendo en la cadena de suministro de la inteligencia artificial, la cual se encuentra en rápida expansión.
Base de datos My Jedai AI expuesta
UpGuard, una empresa de investigación de ciberseguridad, descubrió una base de datos Chroma expuesta que pertenece a My Jedai, una empresa rusa de desarrollo de chatbots de IA.
La base de datos no segura contenía 341 colecciones de documentos, cuyo tamaño variaba entre 161 bytes y 104 megabytes, y la mayor parte del contenido aparecía en caracteres cirílicos que requerían traducción del ruso al inglés.
Chroma es una base de datos especializada en incorporación de documentos diseñada para proporcionar a los chatbots de IA información específica para generar respuestas contextuales a las consultas de los usuarios.
La tecnología permite a los desarrolladores aumentar los modelos de lenguaje grandes (LLM) con almacenes de documentos personalizados, lo que permite a los chatbots proporcionar respuestas específicas basadas en el contenido cargado.
Sin embargo, como cualquier tecnología de base de datos, Chroma requiere una configuración de seguridad adecuada, incluidos mecanismos de autenticación y acceso restringido a Internet para evitar la exposición no autorizada.
My Jedai, fundada por Andrey Vlasof, opera como una microempresa rusa que permite a los clientes crear chatbots impulsados por inteligencia artificial sin necesidad de experiencia técnica.
El modelo de negocio de la empresa permite a los usuarios cargar documentos o vincular contenido web, que luego pasa a formar parte de la base de conocimientos de su chatbot.
UpGuard notificó a My Jedai sobre la exposición el 1 de mayo de 2025 y la empresa aseguró la base de datos en un plazo de 24 horas.
Entre las diversas colecciones de la base de datos, los investigadores descubrieron un conjunto de datos particularmente preocupante que contiene respuestas a encuestas de 571 participantes en el programa Canva Creators.
Los datos expuestos incluyeron direcciones de correo electrónico, países de residencia y respuestas completas a 51 preguntas sobre sus experiencias con la plataforma para creadores de Canva.
Los datos de la encuesta, que parecían ser de mayo de 2024, contenían información detallada sobre los antecedentes profesionales de los creadores, el tamaño de las empresas, los índices de satisfacción de varios componentes del programa y comentarios específicos sobre las regalías, la participación de la comunidad y las características del producto.
Los encuestados representaron a varios países, incluidos Brasil, Francia, Alemania, India, Indonesia, Italia, Japón, Países Bajos, Corea del Sur, España, Tailandia y Turquía.
Esta exposición crea riesgos duales: para los creadores, la combinación de direcciones de correo electrónico con información profesional y financiera detallada proporciona un conjunto de herramientas de phishing listo para usar, mientras que para Canva, los datos revelan inteligencia competitiva sobre las fortalezas y debilidades del programa junto con la información de contacto del creador.
La firma validó la autenticidad de los datos cruzando direcciones de correo electrónico con información disponible públicamente sobre los creadores.
Este incidente representa la primera filtración de datos reportada que involucra una base de datos Chroma e ilustra cómo la adopción de la IA ha creado nuevos vectores para la exposición de datos.
Como resultado del auge de la IA, nuevas tecnologías como Chroma se han desarrollado más rápidamente, lo que ha llevado a un ciclo en el que la experiencia en seguridad aún no ha alcanzado la madurez.
Esto proporciona un entorno en el que los empresarios independientes pueden implementar rápidamente productos de base de datos a API, multiplicando los posibles puntos de falla en la cadena de suministro de datos.
