Lovable menja objašnjenje nakon prijave o izloženim projektima i chatovima
The Register piše da je istraživač sa besplatnog naloga mogao da pristupi tuđem izvornom kodu, chat istoriji i osetljivim podacima u Lovable okruženju, kroz problem sa kontrolom pristupa nad projektima označenim kao javni. Kompanija je najpre tvrdila da nije reč o curenju podataka i da je deo ponašanja bio nameran ili loše objašnjen u dokumentaciji, da bi kasnije priznala da je tokom februarskog objedinjavanja dozvola ponovo omogućila pristup chatovima javnih projekata. U nastavku je deo odgovornosti prebačen i na HackerOne partnere koji prijavu nisu eskalirali internom timu.
Nezgodno ovde nije samo to što je osetljiv sadržaj bio dostupan, već i način na koji je firma komunicirala problem kada je javno otkriven. Kad proizvod barata kodom, promptovima, akreditivima i korisničkim podacima, zabuna oko toga šta znači public, a šta private, brzo postaje bezbednosni i reputacioni problem.
- Proveriti da li javni projekti zaista otkrivaju samo ono što korisnik očekuje da bude javno
- Ne držati akreditive, tajne i osetljive podatke u projektima i chatovima bez obzira na podrazumevanu vidljivost
- Redovno testirati API autorizaciju nad objektima kao što su projekti, poruke i istorija izmena
- Jasno razdvojiti objavljenu aplikaciju od internog projekta, koda i radne komunikacije
- Obezbediti da prijave ranjivosti odmah dođu do internog bezbednosnog tima kada postoji sumnja na izlaganje podataka