- Cerca de 5 mil apps web criados com vibe coding estão disponíveis publicamente, com a análise de 380 mil programas feitos usando Lovable, Base44, Replit e Netlify.
•
- Aproximadamente 40% desses apps contêm informações sensíveis, como dados médicos, financeiros, corporativos e estratégicos, expostos sem proteção adequada.
•
- Muitos não tinham autenticação ou tinham proteção mínima, bastando apenas acessar pela URL para ver o conteúdo.
•
- Exemplos divulgados incluem conversas de pacientes, informações de triagem, planos de férias, dados de ensaios clínicos ativos e embarcações em portos.
•
- A preocupação vem do fato de as próprias organizações hospedarem os apps nos domínios dos serviços de desenvolvimento, com supervisão inadequada; respostas das empresas variam.
Cerca de 5 mil aplicativos web criados com vibe coding estão acessíveis na internet, e 40% contêm informações sensíveis. A constatação é da empresa israelense de cibersegurança RedAccess, que analisou 380 mil programas públicos feitos com Lovable, Base44, Replit e Netlify.
Os apps exigiam pouca ou nenhuma autenticação. Segundo a RedAccess, bastava acessar a URL para ver conteúdos. Entre os dados expostos, há informações financeiras, comerciais e médicas, dependendo do aplicativo em questão.
A Axios verificou vários exemplos, incluindo dados internos de um banco brasileiro, detalhes de embarcações de uma empresa de logística e conversas completas de atendimento de uma empresa de móveis do Reino Unido. Também foram encontrados planos de férias, com reservas de hotéis e restaurantes.
Por que é preocupante
Especialistas apontam que o problema não está apenas na ferramenta, mas na falta de controle de uso pelas organizações. Apps hospedados nos domínios dos serviços de desenvolvimento facilitam a exposição sem necessidade de credenciais.
RedAccess afirma que muitas vítimas mantêm aplicativos em domínios de plataformas, o que facilita buscas públicas. A reportagem ressalta que as ferramentas permitem criar software sem formação formal em engenharia ou cibersegurança.
O que disseram as empresas envolvidas
A Replit afirmou ter sido alertada 24 horas antes de a RedAccess divulgar os achados. Lovable diz investigar os incidentes, mas não forneceu detalhes técnicos ou URLs. A Wix, dona da Base44, diz não ter recebido a lista de apps problemáticos.
As empresas enfatizam que a responsabilidade pela exposição recai sobre quem cria o aplicativo. A Netlify não respondeu à publicação. Fontes consultadas incluem Wired e Axios.
Entre na conversa da comunidade