প্রিয় API ভালোবাসা দ্বারা সোর্স কোড এবং এআই চ্যাট ইতিহাসে অননুমোদিত অ্যাক্সেসের সুযোগ হয়

ME সংবাদ, ২১ এপ্রিল (UTC+8), অ্যানালিসিস বিটিং-এর মনিটরিং অনুযায়ী, সিকিউরিটি রিসার্চার @weezerOSINT এক্স-এ প্রকাশ করেন যে, এআই অ্যাপ্লিকেশন বিল্ডিং প্ল্যাটফর্ম Lovable-এ অবজেক্ট-লেভেল অথরাইজেশন ফেইলিউর (BOLA) ভুল রয়েছে, যার ফলে যেকোনো ফ্রি অ্যাকাউন্ট API কলের মাধ্যমে অন্যদের প্রোজেক্টের সোর্স কোড, ডাটাবেস ক্রেডেনশিয়ালস এবং এআই চ্যাট হিস্ট্রি অননুমতিক্রমে পড়তে পারে। এই ভুলটি ২০২৬ সালের ৩ মার্চ হ্যাকারওয়ানের মাধ্যমে জমা দেওয়া হয়েছিল (রিপোর্ট নম্বর #3583821), কিন্তু এখনও ৪৮ দিন ধরে এটি ঠিক করা হয়নি। গবেষক প্রদর্শনের সময় ডেনমার্কের একটি অলাভজনক সংগঠন Connected Women in AI-এর প্রোজেক্টের মাধ্যমে তাদের ম্যানেজমেন্ট ব্যাকএন্ডের সম্পূর্ণ সোর্স কোডটি অ্যাক্সেস করেন, এবং Lovable AI-এর সাথে ডাটাবেস টেবিল স্ট্রাকচার নিয়ে ডেভেলপারদের আলোচনা পড়েন, যা email, first_name, last_name-এর মতো ফিল্ডগুলিরও উল্লেখ রয়েছে। তিনি তুলনামূলকভাবে পরীক্ষা করেন: ২০২৬ সালের ৪ মাসের মধ্যে তৈরি করা প্রোজেক্টগুলি 403 Forbidden-এর উত্তর দিচ্ছে, 10-দিন-আগেওয়াইটা-একই-ডেভেলপার-দ্বারা-সম্পাদিত-পুরনো-প্রোজেক্টগুলি 200 OK-এর উত্তরদান-করছে-এবং-সম্পূর্ণ-সোর্স-ফাইল-ট্রি-সহ-আসছে, -যা-প্রমাণ-করছে-যে-Lovable-শুধুমাত্র-নতুন-প্রোজেক্টগুলির-জন্য-অথরাইজেশন-ভেরিফিকেশন-ঠিক-করেছে, -কিন্তু-অসংখ্য-পুরনো-প্রোজেক্টগুলি-এ-পিছনে-পড়ে-গিয়েছে। Lovable-প্রথমে-এটিকে-'অভিপ্রায়ক'-ডিজাইন'-এবং-'ডকুমেনটেশন'-অস্পষ্ট'-বলে-দাবি-করল, -তবে-পরবর্তীতে-এটি-ভুল-স্বীকার-করে, -ব্যাখ্যা-করল-যে-২০২৬-ফেব্রুয়ারিতে-ব্যাকএন্ড-অথরাইজেশন-আপডেট-করার-সময়-পাবলিক-প্রোজেক্টগুলির-চ্যাট-অ্যাক্সেস-অপরিচিতভাবে-পুনঃসক্ষম-হয়েছিল, -এবং-HackerOne-ডিসপচিং-টিমকেই-দায়ী-করল, -যদিও-তাদের->>মনে->>হয়->>যে->>পাবলিক->>প্রজেক্ট->>চ্যাট->>দেখা->>যাওয়া->>এটি->>অপেক্ষিত->>আচরণ->>হওয়া->>উচিত->>ছিল, -তাই->>তারা->>এই->>রিপোর্ট->>বন্ধ->>করে->>দিয়েছিল। Lovable-এর->>আত্ম->>মূল্যায়ন->>66->>বিলিয়ন->>ডলার, -এবং->>তাদের->>গ্রাহক->>হল->>Uber, Zendesk, -এবং->>জারমান->>টেলিকম। (উৎস: BlockBeats)