Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Бесплатный аккаунт и пара запросов к API. Платформа Lovable превратила данные клиентов в достояние общественности

Lovable HackerOne weezerOSINT утечка данных API уязвимость BOLA кибербезопасность
Бесплатный аккаунт и пара запросов к API. Платформа Lovable превратила данные клиентов в достояние общественности
Lovable HackerOne weezerOSINT утечка данных API уязвимость BOLA кибербезопасность

Громкие имена и большие деньги не спасли сервис от фиаско.

image

Стартап Lovable, развивающий платформу для так называемого «вайб-кодинга», оказался в центре скандала после сообщений о возможной утечке данных пользователей. Ситуация быстро запуталась — компания сначала отрицала проблему, затем частично признала ошибки и в итоге переложила часть ответственности на партнёра по программе вознаграждений за найденные уязвимости.

Поводом стал пост специалиста под ником weezerOSINT, который заявил, что любой желающий мог зарегистрировать бесплатную учётную запись и получить доступ к чужим проектам. Речь шла об исходном коде, учётных данных баз данных, истории общения с ИИ и пользовательской информации. По его словам, для доступа хватило нескольких запросов к API без каких-либо сложных действий.

Причиной назвали уязвимость класса Broken Object Level Authorization — при таком сбое система не проверяет, принадлежит ли запрашиваемый объект конкретному пользователю. В результате открывались чужие данные. Специалист сообщил, что отправил отчёт о проблеме почти полтора месяца назад через платформу HackerOne, однако заявку пометили как дубликат и не передали дальше.

Lovable сначала отвергла обвинения, заявив, что утечки данных не было, а доступность данных связана с «преднамеренным поведением» и неясными формулировками в документации. Компания пояснила, что проекты с настройкой «публичный» изначально подразумевали открытый доступ не только к приложению, но и к коду с чатами. При этом часть пользователей воспринимала такую настройку иначе.

Позже позиция изменилась. В новом заявлении Lovable признала, что прежний ответ не отражал сути проблемы. Компания рассказала, что раньше бесплатные пользователи не могли создавать закрытые проекты, а позже политика изменилась. В декабре 2025 года закрытый режим стал настройкой по умолчанию, а доступ к чатам публичных проектов ограничили.

Однако в феврале 2026 года при переработке системы прав доступа возможность просматривать чаты случайно вернули. Именно этот сбой и обнаружил специалист. В Lovable утверждают, что отчёт не дошёл до внутренней команды, поскольку сотрудники HackerOne сочли поведение системы допустимым.

После повторного рассмотрения проблему устранили, доступ к чатам публичных проектов снова закрыли. В компании признали, что одной ссылки на недочёты в документации оказалось недостаточно, и пообещали улучшить процесс обработки сообщений об уязвимостях.

Lovable оценивается в миллиарды долларов и используется крупными компаниями, включая Uber, Zendesk и Deutsche Telekom. История с уязвимостью показала, что даже быстрорастущие ИИ-платформы могут допускать базовые ошибки в защите данных — и не всегда готовы сразу признать проблему.