प्यारा API वल्नरेबिलिटी अनधिकृत एक्सेस को स्रोत कोड और AI चैट इतिहासों तक अनुमति देती है

ME News की सूचना के अनुसार, 21 अप्रैल (UTC+8) को, Beating द्वारा निगरानी के अनुसार, सुरक्षा शोधकर्ता @weezerOSINT ने X पर खुलासा किया कि AI एप्लिकेशन बनाने के मंच Lovable में ऑब्जेक्ट-लेवल अधिकार असफलता (BOLA) नामक दुर्बलता है, जिसके कारण कोई भी मुफ्त खाता API कॉल के माध्यम से दूसरों के प्रोजेक्ट्स के स्रोत कोड, डेटाबेस पासवर्ड और AI चैट इतिहास तक अनधिकृत रूप से पहुँच सकता है। यह दुर्बलता 3 मार्च, 2026 को HackerOne पर सबमिट की गई थी (रिपोर्ट संख्या #3583821), और अभी तक 48 दिनों से इसकी मरम्मत नहीं हुई है। शोधकर्ता ने प्रदर्शन के दौरान डेनमार्क के गैर-लाभकारी संगठन Connected Women in AI के प्रोजेक्ट पर पहुँच हासिल की, जिससे उन्हें उनके मैनेजमेंट बैकएंड का पूरा स्रोत कोड मिला, साथ ही डेवलपर्स और Lovable AI के बीच डेटाबेस टेबल स्ट्रक्चर पर चर्चा की बातचीत पढ़ी, जिसमें email, first_name, last_name जैसे क्षेत्र शामिल थे। उन्होंने तुलनात्मक परीक्षण किया: 2026 में बनाए गए प्रोजेक्ट्स से 403 Forbidden प्रतिक्रिया मिली, जबकि उसी डेवलपर के 10 दिन पहले संपादित पुराने प्रोजेक्ट से 200 OK प्रतिक्रिया मिली, साथ ही पूरा स्रोत फ़ाइल ट्री संलग्न था, जिससे साबित होता है कि Lovable केवल नए प्रोजेक्ट्स के लिए परमिशन चेक मरम्मत किया है, पुराने प्रोजेक्ट्स में सुधार नहीं किया है। Lovable ने प्रारंभ में इसे "इच्छित डिज़ाइन" और "दस्तावेज़ीकरण में स्पष्टता की कमी" कहा, लेकिन बाद में स्वीकार किया कि यह एक गलती है, समझाया कि 2026 में पीछे की सुविधा में परमिशन को समानीकृत करते समय public प्रोजेक्ट्स के चैट एक्सेस को अनजाने में पुनः सक्रिय कर दिया गया, और HackerOne के समन्वयकों को ही ज़िम्मेदार माना, कहते हुए कि "public प्रोजेक्ट्स के चैट को देखना" मानक है, इसलिए रिपोर्ट को बंद कर दिया। Lovable का 6600 करोड़ USD का मूल्यांकन है, और इसकेग्राहक Uber, Zendesk, Deutsche Telekom सहित हैं। (स्रोत: BlockBeats)