Post #5007

Случайно Стартап Lovable, известный своей платформой для вайб-кодинга, оказался в центре скандала из-за утечки данных пользователей. Исследователь заметил, что любой человек может получить доступ к чужим проектам и информации, включая исходный код, сведения из баз, историю общения с ИИ и личную информацию. Для этого достаточно было сделать всего лишь несколько запросов к API. Как выяснилось, корень проблемы кроется в уязвимости, из-за которой система не проверяла, имеет ли пользователь право просматривать чужой объект. Исследователь дал об этом знать еще полтора месяца назад через HackerOne, только вот его заявку сочли дубликатом и не передали разработчикам. Сами же представители Lovable изначально отрицали любые доводы на этот счёт и утверждали, что утечки не было, а открытые данные являются результатом «публичных» настроек проектов. Затем они признали наличие проблемы, сообщив, что раньше бесплатные пользователи не могли создавать закрытые проекты, но позже эта возможность появилась. В декабре прошлого года закрытый режим стал стандартом, а возможность просматривать чаты ограничили, однако в феврале при обновлении системы этот доступ случайно вернули. НеКасперский