'Broncodes en chatverkeer developer inzichtelijk door bug in vibe-codingplatform Lovable'

Securityonderzeoeker @weezerOSINT meldde begin deze week op X een lek in Lovable te hebben gevonden. "Ik heb vandaag een Lovable-account aangemaakt en kon de broncode van een andere gebruiker, databankinloggegevens, AI-chatgeschiedenissen en klantgegevens inzien. Al deze informatie is toegankelijk voor elk gratis account", aldus de onderzoeker.

Het probleem zit naar verluid in een Broken Object Level Authorization (BOLA)-kwetsbaarheid, waarbij een API endpoints toegankelijk maakt die gebruikers toegang geeft tot gevoelige informatie van andere gebruikers. Het lek is volgens de beveiligingsonderzoeker uit te buiten via API-calls.

Gemeld via bugbounty-programma

Het lek is door de onderzoeker via HackerOne gemeld. Lovable ziet het probleem echter niet als datalek. Het meldde op X initieel 'op de hoogte te zijn over zorgen omtrent de zichtbaarheid van chatberichten en code op Lovable-projecten die publiekelijk zichtbaar zijn'. Het benadrukte daarbij niet door een datalek te zijn getroffen. Later meldde het platform dat zijn documentatie niet duidelijk omschrijft wat als 'public' wordt gezien.

In een latere verklaring gaat Lovable dieper in op het probleem. Het stelt dat zijn eerdere verklaring omtrent het mogelijke lek de 'gemaakte fout' niet adequaat adresseerde. "

Privé of openbaar

Wanneer je een project aanmaakt op GitHub, kun je het privé of openbaar maken. Lovable werkte op dezelfde manier. Gebruikers hadden een optie voor "Openbaar" of "Privé" rechtstreeks in het chatvenster. Een openbaar project betekende dat het hele project, inclusief chat en code, openbaar was. "Net als een openbaar project op GitHub," dachten we", schrijft Lovable.

"Na verloop van tijd merkten we dat dit verwarrend was. Veel gebruikers dachten dat "openbaar" alleen betekende dat anderen hun gepubliceerde app konden zien, niet de chat van een niet-gepubliceerd project. Dat is begrijpelijk", stelt Lovable. "Op het gratis abonnement konden gebruikers oorspronkelijk geen privéprojecten aanmaken. Ze moesten overstappen naar een betaald abonnement om dat te kunnen doen. In mei 2025 veranderden we dit: gebruikers op het gratis abonnement konden voortaan kiezen om hun projecten privé te maken. Voor zakelijke klanten werd de optie voor openbare zichtbaarheid volledig uitgeschakeld. En in december 2025 schakelden we over naar privé als standaardinstelling voor alle abonnementen."

Lovable stelt daarnaast dat het HackerOne-platform de meldingen omtrent het probleem heeft gesloten zonder deze door te zetten naar het interne team van Lovable, aangezien HackerOne ervanuit zou zijn gegaan dat het omschreven probleem 'intended behaviour' is. HackerOne meldt in een reactie aan The Register in dit stadium niet op de berichtgeving te kunnen reageren.