Lovable onder vuur om datalek

In dit artikel:

AI-ontwikkelplatform Lovable staat onder vuur omdat een beveiligingsonderzoeker aantoonde dat een kwetsbaarheid het mogelijk maakte voor gebruikers met een gratis account om gevoelige data van anderen in te zien. Volgens @weezerOSINT (bericht via The Register) konden via een klein aantal API-aanroepen broncode, inloggegevens en chatgeschiedenis van andere projecten worden bekeken. De oorzaak werd toegeschreven aan een Broken Object Level Authorization-probleem: het systeem controleerde onvoldoende of een gebruiker toestemming had voor het opgevraagde object.

Lovable reageerde eerst terughoudend en stelde dat er geen datalek was, waarbij het bedrijf wees op instellingen voor openbare projecten en onduidelijke documentatie. In een latere verklaring erkende Lovable dat eerdere communicatie tekortschietend was en dat het onderscheid tussen gepubliceerde applicaties en onderliggende chatgegevens voor verwarring zorgde. De kwestie was eerder via bug bounty-platform HackerOne gemeld, maar zou daar niet zijn geëscaleerd omdat sommige zichtbaarheid als bedoeld gedrag werd gezien. Nadat het onderwerp opnieuw aandacht kreeg, sloot Lovable de toegang tot chatgegevens van openbare projecten en zegt het de kwetsbaarheid te hebben verholpen; gebruikers zouden altijd de mogelijkheid hebben gehad projecten privé te zetten, al was die optie niet altijd voor iedereen beschikbaar.

Het incident benadrukt de beveiligingsrisico’s rond AI-platforms, zeker nu bedrijven als Uber en Deutsche Telekom volgens eerdere aankondigingen van Lovable-klanten gebruikmaken. Het toont de noodzaak van strikte toegangscontroles, duidelijke standaardinstellingen (bij voorkeur privé) en betere documentatie bij AI-diensten.