Lovable: Falha Permite Acesso a Chats de Outros Usuários e Dados Sensíveis
Uma falha na plataforma de 'vib-coding' Lovable expôs dados de usuários, incluindo histórico de chats com IA e credenciais de banco de dados. A empresa inicialmente negou a violação, mas depois se desculpou e corrigiu o problema, culpando a plataforma HackerOne pela demora na resolução.
MundiX News·02 de maio de 2026·3 min de leitura·👁 6 views
A plataforma de 'vib-coding' Lovable, que permite a criação de aplicativos com inteligência artificial e que conta com clientes como Uber e Zendesk, foi palco de uma polêmica após a descoberta de uma falha de segurança que permitia o acesso não autorizado a dados de usuários. Um pesquisador, sob o pseudônimo weezerOSINT, revelou que qualquer pessoa com uma conta gratuita poderia obter acesso a informações sensíveis, incluindo código-fonte, credenciais de banco de dados, histórico de chats com IA e informações de clientes. A falha, classificada como uma vulnerabilidade do tipo BOLA (Broken Object Level Authorization), permitia que, através de apenas cinco requisições de API, um usuário acessasse perfis de outros usuários, seus projetos públicos e o código-fonte, de onde era possível extrair credenciais de banco de dados.
O pesquisador relatou a vulnerabilidade através da plataforma HackerOne em 3 de março, mas o relatório foi fechado como duplicado e ignorado. A Lovable, inicialmente, negou a violação, descrevendo o acesso aos dados como 'comportamento esperado' e culpando a HackerOne pela demora na resolução. A empresa chegou a afirmar que o acesso ao código-fonte de projetos públicos era intencional. No entanto, após a repercussão do caso, a Lovable emitiu um pedido de desculpas, reconhecendo que a primeira resposta não refletia a gravidade da situação. A empresa explicou que, inicialmente, os projetos de usuários com planos gratuitos eram públicos por padrão, o que significava que o código e os chats eram totalmente acessíveis. A Lovable corrigiu a falha, desativando o acesso aos chats de projetos públicos.
A Lovable atribuiu a demora na correção à HackerOne, alegando que a plataforma considerou o acesso aos chats de projetos públicos como um comportamento normal e não repassou o relatório de bugs para a equipe da Lovable. A HackerOne se absteve de comentar, citando a necessidade de uma investigação interna. Após a repercussão pública do caso, a Lovable garantiu que reverteu as alterações e bloqueou novamente o acesso aos chats de projetos públicos. A empresa também ressaltou que os usuários sempre tiveram a opção de tornar seus projetos privados. O incidente destaca a importância de testes de segurança rigorosos e a necessidade de uma comunicação clara e rápida em caso de vulnerabilidades, especialmente em plataformas que lidam com dados sensíveis de usuários e empresas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A plataforma de 'vib-coding' Lovable, que permite a criação de aplicativos com inteligência artificial e que conta com clientes como Uber e Zendesk, foi palco de uma polêmica após a descoberta de uma falha de segurança que permitia o acesso não autorizado a dados de usuários. Um pesquisador, sob o pseudônimo weezerOSINT, revelou que qualquer pessoa com uma conta gratuita poderia obter acesso a informações sensíveis, incluindo código-fonte, credenciais de banco de dados, histórico de chats com IA e informações de clientes. A falha, classificada como uma vulnerabilidade do tipo BOLA (Broken Object Level Authorization), permitia que, através de apenas cinco requisições de API, um usuário acessasse perfis de outros usuários, seus projetos públicos e o código-fonte, de onde era possível extrair credenciais de banco de dados.
O pesquisador relatou a vulnerabilidade através da plataforma HackerOne em 3 de março, mas o relatório foi fechado como duplicado e ignorado. A Lovable, inicialmente, negou a violação, descrevendo o acesso aos dados como 'comportamento esperado' e culpando a HackerOne pela demora na resolução. A empresa chegou a afirmar que o acesso ao código-fonte de projetos públicos era intencional. No entanto, após a repercussão do caso, a Lovable emitiu um pedido de desculpas, reconhecendo que a primeira resposta não refletia a gravidade da situação. A empresa explicou que, inicialmente, os projetos de usuários com planos gratuitos eram públicos por padrão, o que significava que o código e os chats eram totalmente acessíveis. A Lovable corrigiu a falha, desativando o acesso aos chats de projetos públicos.
A Lovable atribuiu a demora na correção à HackerOne, alegando que a plataforma considerou o acesso aos chats de projetos públicos como um comportamento normal e não repassou o relatório de bugs para a equipe da Lovable. A HackerOne se absteve de comentar, citando a necessidade de uma investigação interna. Após a repercussão pública do caso, a Lovable garantiu que reverteu as alterações e bloqueou novamente o acesso aos chats de projetos públicos. A empresa também ressaltou que os usuários sempre tiveram a opção de tornar seus projetos privados. O incidente destaca a importância de testes de segurança rigorosos e a necessidade de uma comunicação clara e rápida em caso de vulnerabilidades, especialmente em plataformas que lidam com dados sensíveis de usuários e empresas.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
