Wired: тысячи приложений, созданных с помощью вайбкодинга, раскрывают корпоративные и личные данные

Специалисты по кибербезопасности предупредили, что платформы на базе ИИ, такие как Lovable, Base44, Replit и Netlify позволяют любому желающему создать веб-приложение, но вместе с этим есть серьёзные последствия для безопасности — это не только ошибки, но и полное отсутствие защиты, в том числе для конфиденциальных корпоративных и личных данных, пишет Wired.

Основатель компании RedAccess Дор Цви (Dor Zvi) и его команда выяснили, что более 5 тыс. веб-приложений, созданных с помощью вайбкодинга, практически не защищены и не имеют какой-либо аутентификации. Многие ресурсы позволяли любому, кто знал их URL, получить доступ к их данным. В других приложениях доступ был ограничен минимальной защитой, например требованием ввести адрес электронной почты. По словам Цви, около 40% приложений раскрывали конфиденциальные данные: в сеть утекали медицинская информация, финансовые данные, корпоративные презентации и стратегические документы, а также подробные записи разговоров клиентов с чат-ботами. Цви отметил, что в некоторых случаях обнаруженные уязвимости позволяли ему получать права администратора в системах и даже удалять других администраторов.

RedAccess обнаружила на поддоменах Lovable множество фишинговых ресурсов, выдававших себя за сайты крупных корпораций, включая Bank of America, Costco, FedEx, Trader Joe’s и McDonald’s.

Журналисты Wired обратились к Lovable, Base44, Replit и Netlify с просьбой прокомментировать исследование RedAccess. Netlify от комментариев отказалась, а три другие опровергли утверждения исследователей и заявили, что те не предоставили достаточно информации о своих выводах. Однако они не стали отрицать, что обнаруженные RedAccess веб-приложения были уязвимы. Также в Lovable сообщили о расследовании по