La firma de ciberseguretat RedAccess ha identificat més de 5.000 aplicacions web generades amb intel·ligència artificial exposades al públic o protegides de forma insuficient en dominis com Lovable, Replit, Base44 i Netlify. La troballa revela una vulnerabilitat massiva en la infraestructura digital actual on gairebé el 40 per cent d'aquestes eines exposava informació sensible sense restriccions d'accés adequades.
Entre les dades compromeses figuren registres mèdics, informació financera, documents estratègics corporatius i converses privades amb chatbots. L'escala de l'incident situa aquest succés com un dels majors esdeveniments històrics en matèria d'exposició involuntària d'informació corporativa segons Dor Zvi, investigador de RedAccess.
Dades corporatives i mèdiques al descobert
Els analistes van detectar prop de 2.000 casos concrets que contenien dades aparentment privades. Aquesta xifra inclou assignacions laborals d'un hospital amb informació identificable de facultatius, detalls de compres publicitàries, presentacions d'estratègia de mercat i registres de càrrega d'empreses de transport logístic.
La manca de controls bàsics va permetre als investigadors accedir a sistemes crítics. Algunes aplicacions permetien obtenir privilegis administratius totals sobre els sistemes i fins i tot eliminar altres administradors existents. Moltes d'aquestes plataformes mancaven d'autenticació robusta o només exigien iniciar sessió amb qualsevol adreça de correu electrònic vàlida.
"Es tracta d'un dels majors esdeveniments de la història en matèria d'exposició involuntària d'informació corporativa o sensible" - Dor Zvi, investigador de RedAccess
Zvi va localitzar a més llocs de phishing actius que imitaven entitats com Bank of America, Costco, FedEx, Trader Joe's i McDonald's allotjats directament al domini de Lovable. Aquests espais fraudulents aprofitaven la confiança inherent a les plataformes de desenvolupament ràpid per capturar credencials d'usuaris desprevinguts.
Les plataformes deriven la responsabilitat a l'usuari
La resposta de les companyies tecnològiques implicades ha estat desigual. Netlify no va respondre a les consultes realitzades pels mitjans especialitzats. Per la seva banda, Amjad Masad, director executiu de Replit, va indicar que la configuració de privacitat depèn exclusivament de l'usuari i pot modificar-se amb un simple clic a la interfície.
Lovable va comunicar que investiga els reportis rebuts però va emfatitzar que la configuració final de seguretat recau en el creador de l'aplicació. Blake Brodie, directora de relacions públiques de Wix, matriu de Base44, va sostenir que desactivar els controls d'accés és una decisió deliberada de l'usuari i va qüestionar la validesa dels exemples presentats sense verificació exhaustiva.
Joel Margolis, investigador de seguretat independent, va advertir que resulta difícil distingir en ocasions entre dades reals i material de prova generat automàticament. Va confirmar no obstant això que el risc és freqüent quan equips sense formació tècnica pública aplicacions sense coneixements sòlids de ciberseguretat.
L'informe compara aquesta situació amb les filtracions històriques provocades per configuracions errònies a Amazon S3 que van afectar grans corporacions com Verizon i World Wrestling Entertainment. La democratització del desenvolupament de programari permet ara portar aplicacions a producció sense passar per les revisions internes de seguretat tradicionals.