Vulnerabilidades de segurança expostas em aplicativo EdTech apresentado pela Lovable

Um pesquisador de segurança descobriu múltiplas vulnerabilidades críticas em um aplicativo EdTech apresentado como um caso de sucesso na plataforma Lovable. Lovable é uma plataforma de "vibe coding" de US$ 6,6 bilhões que exibe aplicativos construídos com suas ferramentas.

Detalhes das Vulnerabilidades

O pesquisador testou um aplicativo EdTech com mais de 100 mil visualizações na vitrine da Lovable que tinha usuários reais da UC Berkeley, UC Davis e escolas da Europa, África e Ásia. Em poucas horas de testes, ele encontrou:

• 16 vulnerabilidades de segurança no total
• 6 vulnerabilidades críticas
• Lógica de autenticação que estava "literalmente invertida" — bloqueava usuários logados e permitia acesso a usuários anônimos
• O pesquisador descreveu isso como "código gerado por IA clássico que 'funciona' mas nunca foi revisado"

O Que Foi Exposto

• 18.697 registros de usuários (nomes, e-mails, funções) — acessíveis sem autenticação
• Exclusão de contas via uma única chamada de API — sem necessidade de autenticação
• Notas de alunos modificáveis — sem necessidade de autenticação
• Capacidade de envio de e-mails em massa — sem necessidade de autenticação
• Dados de organizações empresariais de 14 instituições

Resposta

O pesquisador reportou as vulnerabilidades à Lovable, que fechou o ticket de suporte sem resolver os problemas.