Uma falha crítica de segurança na plataforma Lovable revelou riscos sérios envolvendo APIs, expondo credenciais, códigos-fonte e históricos de chats de usuários.
Falha de segurança expõe dados críticos na Lovable
Uma vulnerabilidade grave na plataforma de desenvolvimento assistido por IA Lovable permitiu o acesso indevido a informações sensíveis de usuários. Entre os dados expostos estavam credenciais, códigos-fonte e históricos de conversas com a IA.
O caso ganhou destaque não apenas pelo impacto técnico, mas também pela resposta inicial da empresa, que negou a existência de um vazamento e classificou o comportamento como intencional dentro do funcionamento da plataforma.
A falha identificada é do tipo BOLA (Broken Object Level Authorization), uma das mais críticas em APIs modernas. Esse tipo de vulnerabilidade ocorre quando não há validação adequada de permissões entre usuários, permitindo que um usuário acesse dados de outros indevidamente.
Na prática, isso significa que qualquer conta, até mesmo gratuita poderia acessar informações de terceiros sem necessidade de técnicas avançadas de invasão.
Como o ataque funcionava
A exploração da falha era simples e altamente eficaz:
- O atacante criava uma conta comum na plataforma
- Realizava requisições diretas à API
- Explorava endpoints sem validação adequada de autorização
- Acessava projetos de outros usuários
- Extraía dados sensíveis, incluindo credenciais e informações de clientes
A baixa complexidade do ataque aumenta significativamente o risco, já que reduz a barreira de entrada para exploração em larga escala.
Inicialmente, a Lovable tentou minimizar o problema, afirmando que não houve violação de dados. Segundo a empresa, projetos configurados como “públicos” permitiam ampla visualização por padrão, e a questão estaria relacionada à falta de clareza na documentação.
No entanto, essa justificativa não foi bem recebida, já que muitos usuários não tinham consciência de que seus dados, incluindo chats e códigos poderiam estar acessíveis dessa forma.
Com a repercussão negativa, a empresa voltou atrás e reconheceu falhas no processo. Um dos principais problemas foi uma alteração realizada em fevereiro de 2026 durante a unificação de permissões no backend.
Essa mudança reintroduziu, de forma inadvertida, o acesso a chats de projetos públicos uma vulnerabilidade que já havia sido corrigida anteriormente. O caso evidencia fragilidades em processos de controle de mudanças e testes de segurança.
Outro ponto crítico envolve o processo de reporte da vulnerabilidade. O pesquisador responsável afirmou ter reportado o problema por meio do programa de bug bounty da plataforma HackerOne.
No entanto, o relatório foi classificado como duplicado e não foi escalado corretamente. Posteriormente, a própria Lovable confirmou que a falha não chegou à equipe interna, atrasando sua correção e ampliando o tempo de exposição.
O incidente reforça um problema recorrente: falhas de autorização continuam sendo uma das maiores ameaças em APIs modernas.
O caso Lovable serve como um alerta importante para empresas que desenvolvem ou utilizam APIs e soluções baseadas em IA. Vulnerabilidades como BOLA, apesar de conhecidas, ainda são frequentemente negligenciadas e podem ter impactos devastadores quando exploradas.
