AI-bedrijf Lovable wijzigt privacybeleid na datalek-claim
Het AI-platform Lovable, gewaardeerd op 6,6 miljard dollar, ligt onder vuur na een ernstig beveiligingslek. Een onderzoeker ontdekte dat via gratis accounts toegang verkregen kon worden tot privégegevens van andere gebruikers, waaronder broncode, wachtwoorden en chatgeschiedenissen. Lovable ontkent een "datalek" en spreekt van "opzettelijk gedrag" en onduidelijke documentatie.
De kwetsbaarheid, een zogenaamde Broken Object Level Authorization (BOLA), zorgde ervoor dat projecten die voor november 2025 waren aangemaakt, onbedoeld publiek toegankelijk bleven, aldus The Register.
Hoewel Lovable aanvankelijk stelde dat de zichtbaarheid van code bij het productontwerp hoorde, veranderde het verhaal snel toen bleek dat ook database-inloggegevens op straat lagen.
Uiteindelijk schoof Lovable de schuld in de schoenen van partner HackerOne. Rapporten van onderzoekers zouden daar zijn gesloten omdat medewerkers dachten dat de openheid "by design" was. Na publieke druk heeft Lovable de toegang tot chats op alle publieke projecten alsnog geblokkeerd. Critici zien in de reactie van de start-up een schoolvoorbeeld van hoe AI-bedrijven verantwoordelijkheid voor beveiligingsfouten proberen te ontlopen. HackerOne doet momenteel onderzoek naar de gang van zaken.
