Resumo
- Cerca de 5 mil aplicativos web criados com ferramentas de vibe coding estão disponíveis na internet sem barreiras de segurança ou com proteções mínimas.
- 40% desses aplicativos expõem informações sensíveis, incluindo dados médicos, financeiros, corporativos e estratégicos, devido à falta de segurança ou autenticação.
- Plataformas de vibe coding afirmam que a responsabilidade por deixar um aplicativo público é de quem o criou.
Cerca de 5 mil aplicativos web criados usando ferramentas de vibe coding estão disponíveis para qualquer um acessar — e 40% deles contêm informações sensíveis. A descoberta foi feita pela empresa israelense de cibersegurança RedAccess, que analisou 380 mil programas acessíveis publicamente feitos com ferramentas como Lovable, Base44, Replit e Netlify.
Esses são serviços do que se convencionou chamar de vibe coding, uma forma de programação feita com auxílio de inteligência artificial generativa usando apenas prompts, sem que seja necessário sequer saber escrever o código em si.
Os 5 mil apps encontrados praticamente não tinham barreiras de segurança ou autenticação, ou tinham proteções mínimas, como pedir um endereço de e-mail. Assim, bastava achar a URL para acessar o conteúdo. Segundo a RedAccess, 40% deles deixam expostos dados sensíveis, como informações médicas, financeiras, corporativas e estratégicas.
O que está exposto nesses web apps?
O site Axios verificou vários apps expostos e, entre eles, descobriu:
- Informações financeiras internas de um banco brasileiro.
- Um app de uma empresa de logística detalhando quais embarcações são esperadas em determinados portos.
- Um app interno de uma empresa de saúde com detalhes de ensaios clínicos ativos no Reino Unido.
- Conversas completas de consumidores com o atendimento de uma empresa de móveis do Reino Unido.
A própria RedAccess listou algumas informações e brechas encontradas:
- Conversas com pacientes de uma instituição de cuidados para crianças.
- Informações de triagem de incidentes com consumidores de uma empresa de segurança.
- Um app pessoal com planos de férias na Bélgica de um casal, incluindo detalhes sobre reservas de hotéis e restaurantes.
- Um app de um hospital com resumos de conversas entre médicos e pacientes, escalas de funcionários e queixas de clientes.
- Um app escolar com registros de aulas, dados de estudantes e horários de professores.
Por que isso é preocupante?
Como explica Dor Zvi, pesquisador de segurança da RedAccess, as próprias organizações estão vazando seus dados ao desenvolver aplicativos com vibe coding.
O grau de descuido é tão grande que as empresas estão mantendo seus apps hospedados nos próprios domínios dos serviços de desenvolvimento. Com isso, os pesquisadores só precisaram fazer buscas no Google e no Bing para achar os aplicativos desprotegidos.
Como nota o Axios, as ferramentas de vibe coding permitem que qualquer um possa criar suas próprias soluções de software, mesmo que não tenha conhecimentos de engenharia ou cibersegurança. Aliado a isso, as companhias parecem não estar supervisionando ou controlando adequadamente as ferramentas criadas por seus funcionários.
O que dizem as empresas?
No X, o CEO da Replit, Amjad Masad, se queixou de que a RedAccess alertou a empresa apenas 24 horas antes de procurar jornalistas para compartilhar os achados.
A Lovable declarou que está investigando os incidentes, mas que a RedAccess não compartilhou detalhes técnicos ou URLs. A Wix, dona da Base44, também afirmou não ter recebido a lista com aplicativos problemáticos.
As três empresas também afirmaram à Wired que as opções para deixar um app público são de responsabilidade de quem cria os aplicativos. Já a Netlify não respondeu à publicação.
Com informações da Wired e do Axios
Apps criados com vibe coding estão expondo informações privadas na web