5000 вайб-кодинг додатків злили корпоративні дані у відкритий доступ
- RedAccess виявила понад 5000 ШІ-згенерованих додатків на Lovable, Replit, Base44 та Netlify практично без захисту.
- Близько 2000 з них розкривали приватні дані: медичні записи, фінансові дані, стратегічні документи та журнали чат-ботів.
- На платформі Lovable виявлено фішингові сайти, що імітували Bank of America, Costco, FedEx та інші бренди.
- Replit, Lovable та Base44 перекладають відповідальність на користувачів, які самостійно вимикають інструменти безпеки.
Дослідник з питань безпеки Дор Цві та його команда з кібербезпекової фірми RedAccess проаналізували тисячі вебдодатків, створених за допомогою ШІ-інструментів розробки — Lovable, Replit, Base44 та Netlify. Серед них виявлено понад 5000 додатків практично без будь-якого захисту або автентифікації, повідомляє Wired.
Багато з цих додатків дозволяли будь-кому, хто знайде їхню URL-адресу, отримати доступ до даних. Інші мали лише тривіальні бар’єри — наприклад, необхідність входу з будь-якою електронною адресою. За даними Цві, близько 40% додатків розкривали конфіденційну інформацію: медичні дані, фінансову інформацію, корпоративні презентації, стратегічні документи та журнали розмов клієнтів із чат-ботами.
Пошук вразливих додатків виявився простим: оскільки Lovable, Replit, Base44 та Netlify розміщують додатки користувачів на власних доменах, дослідники знайшли тисячі таких застосунків за допомогою звичайних запитів у Google та Bing.
З 5000 відкритих додатків близько 2000 розкривали приватні дані. Серед них — робочі графіки лікарні з особистими даними лікарів, інформація про закупівлю реклами, стратегії виходу на ринок, журнали чат-ботів із контактами клієнтів, митні записи судноплавної компанії, дані про продажі та фінанси. У деяких випадках відкриті додатки надавали адміністративні привілеї та дозволяли видаляти інших адміністраторів.
У випадку з Lovable Цві також виявив фішингові сайти, що імітували великі корпорації — Bank of America, Costco, FedEx, Trader Joe’s та McDonald’s — і були розміщені на домені цієї платформи.
Коли WIRED звернувся до чотирьох компаній, Netlify не відповіла. Replit, Lovable та Base44 спростували заяви, стверджуючи, що не отримали достатньо доказів або часу на відповідь. Генеральний директор Replit Амджад Масад зазначив, що відповідальність лежить на творцях додатків, оскільки платформи надають можливість вибору між публічним і приватним доступом.
Lovable та Base44 також наголосили, що інструменти безпеки доступні, але їхнє вимкнення — свідомий вибір користувача. Base44 поставила під сумнів справжність даних у знайдених додатках, однак RedAccess стверджує, що в деяких випадках власники підтвердили витік інформації.
Цві порівнює ситуацію з епідемією відкритих даних через неправильні налаштування безпеки Amazon S3 у минулому. За його словами, ШІ-інструменти дозволяють створювати додатки без перевірок безпеки та дотримання звичного циклу розробки, що і призводить до масових витоків.
