پیارا API کی کمزوری سے سورس کوڈ اور AI چیٹ کی تاریخوں تک غیر مجاز رسائی ممکن ہو گئی

ME خبروں کے مطابق، 21 اپریل (UTC+8) کو، Beating کی نگرانی کے مطابق، سیکورٹی ریسرچر @weezerOSINT نے X پر ایک جانچ کی کہ AI ایپلیکیشن بنانے والے پلیٹ فارم Lovable میں آبجیکٹ لیول اتھارائزیشن فیلیور (BOLA) کا خلل ہے، جس کی وجہ سے کوئی بھی مفت اکاؤنٹ API کال کے ذریعے دوسرے صارفین کے پروجیکٹس کے سورس کوڈ، ڈیٹا بیس کرڈنٹلز اور AI ڈائیلاگ ہسٹری تک غیر مجاز طور پر رسائی حاصل کر سکتا ہے۔ یہ خلل 3 مارچ 2026 کو HackerOne پر جمع کرایا گیا تھا (رپورٹ نمبر #3583821)، لیکن اب تک 48 دن گزر چکے ہیں اور ابھی تک اسے درست نہیں کیا گیا۔ ریسرچر نے ڈینمارک کے غیر منافع بخش ادارہ Connected Women in AI کے پروجیکٹ تک رسائی حاصل کرکے اس کے مینجمنٹ باکس کا مکمل سورس کوڈ حاصل کیا اور ڈویلپرز اور Lovable AI کے درمیان ڈیٹا بیس ٹیبل سٹرکچر پر بات چیت کو پڑھا، جس میں email، first_name، last_name جیسے فیلڈز شامل تھے۔ اس نے ٹیسٹنگ کے دوران پایا کہ 2026ء کے اپریل میں بنائے گئے نئے پروجیکٹس سے 403 Forbidden واپس آتا ہے، جبکہ اسی ڈویلپر کا وہ پرانا پروجیکٹ جس پر وہ 10 دن پہلے کام کر رہا تھا، 200 OK واپس کرتا ہے اور مکمل سورس فائل ٹری دیتا ہے، جس سے ثابت ہوتا ہے کہ Lovable نے صرف نئے پروجیکٹس کے لیے اتھارائزیشن چیک درست کیا ہے، لیکن موجودہ پروجیکٹس میں اسے واپس نہیں لگایا۔ Lovable نے شروع میں اسے "مقصودہ ڈیزائن" اور "دستاویزات میں عدم وضاحت" قرار دیا، لیکن بعد میں اپنی غلطی تسلیم کرتے ہوئے بتایا کہ فروری 2026 میں بیک اینڈ اتھارائزیشن کو یکجا کرتے وقت انہوں نے غلطی سے public پروجیکٹس کے چैٹ تک رسائی دوبارہ انباول کردی، اور ذمہ داری HackerOne کے ڈائگنوسٹک ٹیم پر عائد کرتے ہوئے دعوٰی کیا کہ انہوں نے "public پروجیکٹس کا چैٹ دیدہ قابلِ رسائی" ہونا معمول سمجھ لیا تھا، اس لئے رپورٹ بند کردی۔ Lovable کا دعوٰی ہے کہ اس کا اندازہ 66 بلین امریکی ڈالر ہے، جبکہ اس کے صارفین میں Uber، Zendesk اور جرمن ٹیلیکام شامل ہیں۔ (ذرائع: BlockBeats)