- Автор темы
- #1
Вайб-кодинговая платформа Lovable оказалась в центре скандала: исследователь обнаружил, что любой желающий мог завести бесплатный аккаунт и получить доступ к чужим данным, включая исходный код, учетные данные от БД, истории чатов с ИИ и клиентскую информацию. Однако в компании утечку отрицают, называют происходящее «ожидаемым поведением» и перекладывают вину на bug bounty-платформу HackerOne.
Lovable — платформа для вайб-кодинга, позволяющая создавать приложения с помощью ИИ. Среди клиентов сервиса — Uber, Zendesk и Deutsche Telekom. В ходе последнего раунда финансирования стартап оценили в 6,6 млрд долларов США.
Исследователь под ником weezerOSINT опубликовал информацию о проблеме в соцсети X и заявил, что более 48 дней назад он сообщал об этой утечке через платформу HackerOne. Однако отчет закрыли как дубликат и оставили без внимания. Опубликованные специалистом скриншоты подтверждают, что баг-репорт был подан еще 3 марта.
По словам исследователя, для эксплуатации бага не требуется никаких хакерских навыков: достаточно пяти API-запросов с бесплатного аккаунта Lovable. В итоге можно получить доступ к профилю другого пользователя, его публичным проектам и исходному коду, а оттуда — извлечь учетные данные от базы данных. Проблема связана с уязвимостью типа BOLA (Broken Object Level Authorization), когда API не проверяет, принадлежит ли запрашиваемый объект текущему пользователю.
Изначально представители Lovable категорически отвергли факт утечки. В первом заявлении в компании писали, что речь идет лишь о «видимости чатов и кода в проектах с публичными настройками» и «никакой утечки данных не произошло». Доступность исходного кода публичных проектов разработчики и вовсе назвали намеренным и осознанным решением. Правда, с оговоркой, что для корпоративных клиентов возможность делать проекты публичными отключили еще в мае 2025 года.
Однако позже представители Lovable опубликовали второе заявление, в котором извинились и признали, что первая реакция «не отражала суть ошибки».
Как пояснили в компании, изначально у пользователей бесплатного тарифа все проекты были публичными по умолчанию, и «публичный» статус означал полную открытость (включая чаты и код). Со временем в Lovable осознали, что многие пользователи воспринимали «публичный» проект лишь как доступное приложение, а не открытый исходный код с историей чата.
В мае 2025 года пользователям бесплатного тарифа разрешили создавать приватные проекты, а в декабре все новые проекты стали приватными по умолчанию. Также в Lovable закрыли API-доступ к чатам публичных проектов. Однако в феврале 2026 года, во время обновления системы разрешений, доступ к чатам случайно включили снова, что и обнаружил weezerOSINT.
Ответственность за задержку с исправлением в Lovable возложили на HackerOne. Так, представители компании сообщили изданию The Register, что партнеры на стороне HackerOne сочли доступ к чатам публичных проектов штатным поведением и закрыли баг-репорт, не передав его команде Lovable. В HackerOne воздержались от комментариев, сославшись на необходимость проведения внутренней проверки.
После того как о ситуации стало известно публично, в Lovable заверили, что, узнав о проблеме, сразу откатили изменения и снова закрыли доступ к чатам публичных проектов. Также в компании подчеркнули, что пользователи всегда могли самостоятельно переключить свой проект из публичного режима в приватный.
Lovable — платформа для вайб-кодинга, позволяющая создавать приложения с помощью ИИ. Среди клиентов сервиса — Uber, Zendesk и Deutsche Telekom. В ходе последнего раунда финансирования стартап оценили в 6,6 млрд долларов США.
Исследователь под ником weezerOSINT опубликовал информацию о проблеме в соцсети X и заявил, что более 48 дней назад он сообщал об этой утечке через платформу HackerOne. Однако отчет закрыли как дубликат и оставили без внимания. Опубликованные специалистом скриншоты подтверждают, что баг-репорт был подан еще 3 марта.
По словам исследователя, для эксплуатации бага не требуется никаких хакерских навыков: достаточно пяти API-запросов с бесплатного аккаунта Lovable. В итоге можно получить доступ к профилю другого пользователя, его публичным проектам и исходному коду, а оттуда — извлечь учетные данные от базы данных. Проблема связана с уязвимостью типа BOLA (Broken Object Level Authorization), когда API не проверяет, принадлежит ли запрашиваемый объект текущему пользователю.
Изначально представители Lovable категорически отвергли факт утечки. В первом заявлении в компании писали, что речь идет лишь о «видимости чатов и кода в проектах с публичными настройками» и «никакой утечки данных не произошло». Доступность исходного кода публичных проектов разработчики и вовсе назвали намеренным и осознанным решением. Правда, с оговоркой, что для корпоративных клиентов возможность делать проекты публичными отключили еще в мае 2025 года.
Однако позже представители Lovable опубликовали второе заявление, в котором извинились и признали, что первая реакция «не отражала суть ошибки».
Как пояснили в компании, изначально у пользователей бесплатного тарифа все проекты были публичными по умолчанию, и «публичный» статус означал полную открытость (включая чаты и код). Со временем в Lovable осознали, что многие пользователи воспринимали «публичный» проект лишь как доступное приложение, а не открытый исходный код с историей чата.
В мае 2025 года пользователям бесплатного тарифа разрешили создавать приватные проекты, а в декабре все новые проекты стали приватными по умолчанию. Также в Lovable закрыли API-доступ к чатам публичных проектов. Однако в феврале 2026 года, во время обновления системы разрешений, доступ к чатам случайно включили снова, что и обнаружил weezerOSINT.
Ответственность за задержку с исправлением в Lovable возложили на HackerOne. Так, представители компании сообщили изданию The Register, что партнеры на стороне HackerOne сочли доступ к чатам публичных проектов штатным поведением и закрыли баг-репорт, не передав его команде Lovable. В HackerOne воздержались от комментариев, сославшись на необходимость проведения внутренней проверки.
После того как о ситуации стало известно публично, в Lovable заверили, что, узнав о проблеме, сразу откатили изменения и снова закрыли доступ к чатам публичных проектов. Также в компании подчеркнули, что пользователи всегда могли самостоятельно переключить свой проект из публичного режима в приватный.