Lovable Platforminde Kritik Veri Sızıntısı: Kullanıcıların AI Sohbetleri ve Kodları Risk Altında

Lovable Platformunda Kritik Veri Sızıntısı Tespit Edildi

Bir güvenlik araştırmacısı, popüler vibe-coding platformu Lovable'ın kullanıcıların AI modelleriyle yapılan sohbet geçmişlerini ve hassas verilerini API üzerinden diğer kullanıcıların erişimine açtığını ortaya çıkardı. Araştırmacı, X platformunda (eski adıyla Twitter) @weezerOSINT hesabından yaptığı paylaşımda durumu belgeledi.

"Bugün Lovable hesabı açtım ve başka bir kullanıcının kaynak koduna, veritabanı kimlik bilgilerine, AI sohbet geçmişlerine ve müşteri verilerine ücretsiz hesapla bile erişebildim."

Paylaşımda, başka bir kullanıcının proje kodunun ve sohbetlerinin ekran görüntüsü ile birlikte, hatanın neden olduğu iddia edilen veri sızıntısını gösteren çözülmemiş bir destek bileti yer aldı. Lovable, Kasım 2025 öncesi oluşturulan tüm projelerin etkilendiğini doğruladı.

AI Kullanılarak 30 Dakikada Tespit Edilen Hata

Araştırmacı, XAI'in Grok 4.2 modelini kullanarak sadece 30 dakika içinde bu veriye ulaştığını belirtti. Araştırmacı, AI kullanmadan önce benzer bir sızıntının tespitinin saatler veya günler sürebileceğini vurguladı.

@weezerOSINT, Mart başında siber güvenlik şirketi HackerOne üzerinden sorunu bildirdi. Lovable, ilk açıklamasında veri sızıntısı olmadığını ve proje kodlarının "kasıtlı olarak" halka açık projelerde paylaşıldığını belirtti. Şirket, kullanıcıların projelerini "public" olarak işaretlediklerinde kodlarının diğer kullanıcılar tarafından görülebileceğini açıkladı.

Lovable'ın Açıklamaları ve Hatalı Beyan

Lovable, ilk açıklamasında şunları paylaştı:

• "Veri sızıntısı yaşanmadı."
• "Halka açık projelerdeki kod görünürlüğü kasıtlı bir davranıştır."
• Kullanıcıların projelerini "public" olarak işaretlediklerinde kodlarının diğer kullanıcılar tarafından görülebileceği belirtildi.

Ancak bu açıklama, AI sohbet geçmişlerinin ve komutlarının da halka açık projelerde erişilebilir olduğunu açıklamıyordu. Lovable, daha sonra yaptığı ikinci açıklamada, API üzerinden halka açık projelerin sohbetlerine erişimin engellendiğini duyurdu. Şirket, Şubat ayında yaptığı bir güncelleme sırasında yanlışlıkla halka açık projelerin sohbetlerine erişimi yeniden açtığını kabul etti.

"Başlangıçta yaptığımız açıklama hatamızı tam olarak yansıtmadı. Halka açık projelerin ne anlama geldiğini ve yaşanan süreci açıklayan bir açıklama yayınladık."

HackerOne Bildirimi ve Sonrası

Araştırmacı, Mart başında HackerOne üzerinden sorunu bildirdi. Lovable, HackerOne ortaklarının halka açık projelerin sohbetlerine erişimin "kasıtlı bir davranış" olduğunu düşündüğü için bileti kapattığını belirtti. Lovable, vibe-coding platformu olarak doğal dil komutlarının kod üretiminin temel bir parçası olduğunu vurguladı.

Şirket, yaşanan hatanın ardından gerekli düzeltmeleri yaptı ve kullanıcılara verilerinin güvende olduğunu garanti etti. Lovable, kullanıcıların projelerini "private" olarak işaretlemeleri gerektiğini ve hassas verilerin korunması için gerekli önlemleri almaları gerektiğini hatırlattı.