Як пише Wired, дослідник безпеки Дор Цві та його команда кібербезпеки RedAccess проаналізували тисячі веб-додатків, написаних за допомогою так званого вайбкодингу.
Читайте также: Колишній Чоловік Квіткової: біографія, кар’єра та особисте життя
Виявилося, що понад 5000 з проаналізованих додатків практично не мали жодної безпеки чи автентифікації.
«Багато з цих веб-додатків дозволяли будь-кому, хто просто знайшов їхню веб-адресу, отримати доступ як до самих додатків, так і до даних їхніх користувачів. Інші мали лише незначні перешкоди для такого доступу, такі як вимога входу відвідувача за допомогою будь-якої адреси електронної пошти. Близько 40% додатків розкривали конфіденційні дані, включаючи медичну інформацію, фінансові дані, корпоративні та стратегічні документи, а також детальні журнали розмов клієнтів з чат-ботами», — пише видання про результати дослідження кіберекспертів.
При цьому близько 2000 з проаналізованих додатків, створених популярними сервісами для вайбкодингу, розкривали конфіденційні дані — наприклад, особисту інформацію лікарів, повні журнали розмов чат-бота з клієнтами, імена та контактну інформацію клієнтів та інше.
У випадку з Lovable, Дор Цві також стверджує, що за допомогою сервісу створювалися числені фішингові сайти, які «мімікрували» під сайти відомих торгових марок і корпорацій, включаючи Bank of America, Costco, FedEx і McDonald’s.
Видання Wired звернулося до згаданих сервісів для вайкодингу з проханням прокоментувати висновки RedAccess. Netlify не відповів на запит, а три інші компанії спростували заяви дослідників і зазначили, що їм не надали достатньо часу для відповіді. Втім, вони не заперечували, що веб-додатки, знайдені RedAccess, залишилися незахищеними.
Читайте также: Український айтівець зробив ШІ-сервіс для аналізу російських «вкидів». Як Syto «просіює» ворожу пропаганду
«Основна претензія RedAccess полягає в тому, що деякі користувачі опублікували у відкритому інтернеті додатки, які мали бути приватними. Replit дозволяє користувачам вибирати, чи є додатки публічними, чи приватними. Налаштування конфіденційності можна змінити будь-коли одним клацанням миші», — написав гендиректор Replit Амджад Масад у своїй відповіді на X.
У свою чергу, речник Lovable відповів, що «Lovable серйозно ставиться до повідомлень про викриті дані та фішингові сайти, і активно працює над тим, щоб отримати необхідну інформацію для розслідування». Водночас, там нагадали, що надають розробникам інструменти для безпеки, але те, як саме налаштовано додаток, зрештою є відповідальністю самого розробника.
У материнській компанії Base44, Wix, заявили, що «Base44 надає користувачам надійні інструменти для налаштування безпеки власних програм, включаючи елементи керування доступом та налаштування видимості». Але водночас, такі вразливості там назвали вибором конфігурації користувача, а не проблемою самої платформи.
Нагадаємо, що у лютому термін «вайбкодинг» святкував першу річницю.
Тим часом, творця Claude Code дратує термін «вайбкодинг». Він шукає нову назву для ШІ-програмування і просить допомоги спільноти.
Читайте также: Збиває FPV-дрони сіткою без участі людини: польсько-українська компанія створила автономну турель Scan Horizon