Vibe-coding platform Lovable lekt gevoelige data

In dit artikel:

Beveiligingsonderzoeker WeezerOSINT meldt op X dat het Vibe-codingplatform Lovable gevoelige gebruikersdata toegankelijk maakte: onder meer broncode, database-inloggegevens, AI-chatgeschiedenis en klantinformatie zouden via gratis accounts door derden bekeken kunnen worden. De onderzoeker zegt de kwetsbaarheid 48 dagen geleden te hebben gemeld, maar dat het probleem nog bestond omdat Lovable het als een dubbele melding zag en niet adequaat handelde.

Lovable, dat zichzelf op 6,6 miljard dollar waardeert, ontkende aanvankelijk een datalek en wees op onduidelijke documentatie over wat openbaar is. In een latere verklaring erkende het bedrijf dat een wijziging in de API in februari ertoe leidde dat eerder afgeschermde chatberichten weer leesbaar werden; die fout is inmiddels verholpen. Volgens Lovable werd de HackerOne-melding afgesloten omdat het platform de melding interpreteerde als bedoelde functionaliteit.