Бесплатный аккаунт и пара запросов к API. Платформа Lovable превратила данные клиентов в достояние общественности
NewsMakerГромкие имена и большие деньги не спасли сервис от фиаско.
Стартап Lovable , развивающий платформу для так называемого «вайб-кодинга» , оказался в центре скандала после сообщений о возможной утечке данных пользователей. Ситуация быстро запуталась — компания сначала отрицала проблему, затем частично признала ошибки и в итоге переложила часть ответственности на партнёра по программе вознаграждений за найденные уязвимости.
Поводом стал пост специалиста под ником weezerOSINT, который заявил , что любой желающий мог зарегистрировать бесплатную учётную запись и получить доступ к чужим проектам. Речь шла об исходном коде, учётных данных баз данных, истории общения с ИИ и пользовательской информации. По его словам, для доступа хватило нескольких запросов к API без каких-либо сложных действий.
Причиной назвали уязвимость класса Broken Object Level Authorization — при таком сбое система не проверяет, принадлежит ли запрашиваемый объект конкретному пользователю. В результате открывались чужие данные. Специалист сообщил, что отправил отчёт о проблеме почти полтора месяца назад через платформу HackerOne, однако заявку пометили как дубликат и не передали дальше.
Lovable сначала отвергла обвинения, заявив, что утечки данных не было, а доступность данных связана с «преднамеренным поведением» и неясными формулировками в документации. Компания пояснила, что проекты с настройкой «публичный» изначально подразумевали открытый доступ не только к приложению, но и к коду с чатами. При этом часть пользователей воспринимала такую настройку иначе.
Стартап Lovable , развивающий платформу для так называемого «вайб-кодинга» , оказался в центре скандала после сообщений о возможной утечке данных пользователей. Ситуация быстро запуталась — компания сначала отрицала проблему, затем частично признала ошибки и в итоге переложила часть ответственности на партнёра по программе вознаграждений за найденные уязвимости.
Поводом стал пост специалиста под ником weezerOSINT, который заявил , что любой желающий мог зарегистрировать бесплатную учётную запись и получить доступ к чужим проектам. Речь шла об исходном коде, учётных данных баз данных, истории общения с ИИ и пользовательской информации. По его словам, для доступа хватило нескольких запросов к API без каких-либо сложных действий.
Причиной назвали уязвимость класса Broken Object Level Authorization — при таком сбое система не проверяет, принадлежит ли запрашиваемый объект конкретному пользователю. В результате открывались чужие данные. Специалист сообщил, что отправил отчёт о проблеме почти полтора месяца назад через платформу HackerOne, однако заявку пометили как дубликат и не передали дальше.
Lovable сначала отвергла обвинения, заявив, что утечки данных не было, а доступность данных связана с «преднамеренным поведением» и неясными формулировками в документации. Компания пояснила, что проекты с настройкой «публичный» изначально подразумевали открытый доступ не только к приложению, но и к коду с чатами. При этом часть пользователей воспринимала такую настройку иначе.