À medida que a inteligência artificial assume um papel cada vez maior no desenvolvimento de software, especialistas em cibersegurança alertam que ferramentas automatizadas de programação podem introduzir novas vulnerabilidades em aplicações modernas.
No entanto, quando essas mesmas ferramentas permitem que qualquer pessoa crie e publique aplicações web com apenas alguns cliques, o problema vai além de falhas de código. Em muitos casos, pesquisadores encontraram sistemas sem qualquer mecanismo efetivo de proteção, expondo dados corporativos e informações pessoais sensíveis na internet.
O pesquisador de segurança Dor Zvi e sua equipe da RedAccess analisaram milhares de aplicações desenvolvidas com ferramentas de IA como Lovable, Replit, Base44 e Netlify. Segundo o levantamento, mais de 5.000 aplicativos foram encontrados com configurações de segurança inadequadas ou sem autenticação funcional.
Em diversos casos, bastava conhecer o endereço da aplicação para acessar o sistema e visualizar seus dados. Outros exigiam apenas medidas superficiais de acesso, como o preenchimento de qualquer endereço de e-mail, sem validação adicional.
De acordo com Zvi, aproximadamente 40% dos aplicativos analisados expunham informações sensíveis, incluindo dados médicos, registros financeiros, apresentações corporativas, documentos estratégicos e históricos de conversas entre clientes e chatbots.
“O resultado final é que as organizações estão efetivamente vazando dados privados por meio dessas aplicações criadas com ferramentas de IA”, afirmou o pesquisador.
Segundo ele, trata-se de um dos maiores casos já observados de exposição involuntária de informações corporativas e dados sensíveis acessíveis publicamente na internet.
A identificação desses sistemas teria sido relativamente simples. Como Lovable, Replit, Base44 e Netlify permitem que usuários hospedem aplicações diretamente em subdomínios fornecidos pelas próprias plataformas, os pesquisadores utilizaram mecanismos de busca como Google e Bing para localizar projetos publicados com essas ferramentas.
Entre os mais de 5.000 aplicativos identificados, cerca de 2.000 apresentavam indícios de exposição de informações privadas após uma análise mais aprofundada.
Capturas de tela compartilhadas pelos pesquisadores mostravam exemplos de sistemas ainda acessíveis publicamente. Entre eles estavam escalas hospitalares contendo dados pessoais de profissionais de saúde, relatórios detalhados de campanhas publicitárias, apresentações estratégicas de empresas, registros de atendimento de clientes com nomes e contatos completos, documentos logísticos e diversos arquivos relacionados a vendas e finanças corporativas.
Em alguns casos, Zvi afirma que as falhas encontradas poderiam permitir a obtenção de privilégios administrativos dentro dos sistemas afetados, incluindo a remoção de outros administradores.
O pesquisador também relatou ter identificado, na plataforma Lovable, diversos sites de phishing que imitavam marcas conhecidas, como Bank of America, Costco, FedEx, Trader Joe's e McDonald's. Segundo ele, esses sites aparentavam ter sido desenvolvidos com ferramentas de IA da plataforma e hospedados em seus domínios.
Questionadas sobre as conclusões da pesquisa, a Netlify não respondeu aos pedidos de comentário. Já Lovable, Replit e Base44 contestaram parte das alegações e afirmaram não ter recebido informações suficientes ou tempo adequado para analisar detalhadamente os resultados apresentados pela RedAccess.
A empresa de pesquisa afirma ter entrado em contato com as plataformas na segunda-feira anterior à divulgação do estudo. Ainda assim, nenhuma delas negou diretamente que aplicações identificadas pela RedAccess estivessem acessíveis publicamente.
“Com base nas informações limitadas compartilhadas, a principal alegação parece ser que alguns usuários publicaram aplicações na internet que deveriam permanecer privadas”, escreveu o CEO da Replit, Amjad Masad, em uma publicação no X.
Segundo Masad, a plataforma permite que cada usuário escolha se seus projetos serão públicos ou privados. Aplicações públicas acessíveis pela internet fazem parte do funcionamento esperado do serviço, e as configurações de privacidade podem ser alteradas a qualquer momento com apenas um clique.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...