Lovable, Base44, Replit e Netlify oferecem a qualquer pessoa a possibilidade de criar e publicar sites em segundos usando inteligência artificial. Milhares dessas plataformas estão vazando dados sensíveis, segundo reportagem da Wired, citando a empresa de cibersegurança RedAccess.
Fonte da imagem: Mohammad Rahmani / unsplash.com
Especialistas examinaram milhares de sites gerados por IA e descobriram que mais de 5.000 deles não possuíam nenhum mecanismo de segurança ou autenticação. Em muitos casos, o acesso a softwares e arquivos de dados era possível apenas com o endereço do site; alguns acessavam esses dados após o login com qualquer endereço de e-mail. Cerca de 40% dos recursos divulgavam informações sensíveis.
Encontrar esses sites foi fácil: Lovable, Replit, Base44 e Netlify os hospedam em seus próprios subdomínios, e não apenas nos endereços de seus clientes. Uma simples busca no Google e no Bing usando esses subdomínios e outras consultas simples foi tudo o que foi necessário. Os pesquisadores descobriram plantas de instalações médicas contendo informações pessoais de médicos, informações detalhadas sobre compras de publicidade, registros de vendas e envios, correspondências de vendas com clientes contendo os nomes completos e informações de contato dos clientes e muito mais. Em alguns casos, os pesquisadores obtiveram privilégios de administrador nesses sites com facilidade.
Diversos sites de phishing, imitando os sites oficiais do Bank of America, Costco, FedEx, Trader Joe’s e McDonald’s, foram descobertos na plataforma Lovable. A Netlify não comentou o incidente; a Replit e a Base44 afirmaram que os usuários optaram por publicar seus dados publicamente, o que pode ser desativado nas configurações da conta. A Lovable declarou que está investigando os sites falsos de phishing descobertos na plataforma.
Especialistas da RedAccess entraram em contato com alguns clientes dessas plataformas e os informaram sobre o incidente.As vulnerabilidades foram identificadas. Algumas empresas agradeceram aos especialistas em cibersegurança e protegeram os dados ou removeram os recursos. Não foi possível determinar quantos sites vulneráveis semelhantes estão hospedados nos domínios das próprias empresas. Especialistas acreditam que a situação só tende a piorar: a IA permite a criação não apenas de sites, mas também gera código para qualquer outro aplicativo — e esses aplicativos geralmente não são menos vulneráveis.