NERDMANLovable leakt User-Daten und lügt dreimal hintereinander
Wer auf der KI-Coding-Plattform Lovable einen Gratis-Account eröffnet, konnte die Credentials, Chat-Verläufe und den Quellcode anderer Nutzer einsehen. Einfach so.
Was passiert ist
Ein Sicherheitsforscher fand heraus: Lovable — eine sogenannte "Vibe Coding"-Plattform — hat sensible Nutzerdaten öffentlich exponiert. Keine komplexe Attacke nötig. Freier Account reicht.
📅 Timeline
- Schritt 1:** Forscher meldet die Schwachstelle
- Schritt 2:** Lovable nennt es "intentional behavior"
- Schritt 3:** Lovable schiebt es auf "unclear documentation"
- Schritt 4:** Lovable gibt HackerOne die Schuld
Die Ausreden-Parade
Das ist beabsichtigtes Verhalten.— Lovable (erste Reaktion)
Drei verschiedene Erklärungen für dasselbe Problem. Erst ist es ein Feature, dann ein Doku-Fehler, dann die Schuld der Bug-Bounty-Plattform. Klassiker.
Was exponiert war
- Credentials** — Zugangsdaten anderer Nutzer
- Chat-History** — komplette Konversationen mit der KI
- Source Code** — der generierte Code anderer Projekte
- Zugang:** Jeder mit einem kostenlosen Account
💡 Was das bedeutet
Wer Lovable zum Coden benutzt hat, muss davon ausgehen, dass seine Daten kompromittiert sind. Credentials rotieren, Code prüfen, Sessions killen. Und: Wer seine Secrets einer Plattform anvertraut, die nicht mal weiß ob ein Leak ein Feature oder ein Bug ist, hat ein grundsätzliches Vertrauensproblem.
✅ Pro
- Lovable hat... äh... nein. Nichts.
❌ Con
- User-Daten offen wie ein Scheunentor
- Incident Response ist eine Blamage
- Drei widersprüchliche Statements
- Schuld wird auf HackerOne geschoben
