Vulnerabilidade BOLA na API da Lovable expôs código, credenciais e conversas com a IA de quem usa a plataforma

[Ricardo Coelho]

BOLA significa Broken Object Level Authorization. Mas o ponto que importa não é a sigla técnica e sim o que quer dizer. É uma falha em APIs em que o sistema confere se o usuário está logado, mas não verifica se os dados que ele está pedindo são realmente dele. Imagine chegar no seu prédio e, depois de o porteiro confirmar que você é morador e liberar sua entrada, encontrar destrancadas as portas de todos os apartamentos.

O caso tem duas narrativas em disputa. O pesquisador @weezerOSINT diz que se trata de um vazamento em massa atingindo todos os projetos criados antes de novembro de 2025, bastando poucas chamadas de API pra explorar. A Lovable nega que houve violação de dados e afirma que este comportamento é intencional pra projetos marcados como públicos, sendo a "documentação ruim" a única falha real. Vale entrar nessa divergência, até porque ela determina o tamanho do problema.

A defesa da Lovable se ancora num ponto legítimo. Um projeto marcado como público em uma plataforma de desenvolvimento é, de fato, público. Código, histórico de build, conversas com a IA. Quem marcou a opção e saiu colando credenciais dentro dos prompts tem uma parcela gigante de responsabilidade no que expôs. A empresa admite que a documentação sobre o significado de "público" era ambígua, o que se parece muito com um sopro de honestidade.

Mas tem um detalhe que a própria Lovable admitiu e que desmonta centralmente a sua defesa. Em fevereiro de 2026, durante uma unificação de permissões no backend, a empresa afirma que "reativou acidentalmente" acesso a chats em projetos públicos. O ato falho está na escolha da palavra "acidentalmente". Se houve reativação acidental, é porque antes havia restrição. E se havia restrição, o comportamento posterior não é intencional, mas regressão. O argumento de que tudo é "by design" cai no momento em que se reconhece que algo voltou sem querer.

A cronologia também pesa contra a versão da empresa. O reporte chegou em 3 de março via HackerOne. Ficou 48 dias parado, classificado como "duplicate submission" sob o entendimento de que ver chats de projeto público era intencional. A divulgação pública só veio em 20 de abril, após quase sete semanas de dados sensíveis permanecerem acessíveis enquanto o canal oficial de bug bounty tratava o report como simples "ruído". A partir daí, mais do que um debate semântico sobre o que é ou não público, o caso evoluiu para uma falha de processo de segurança em cima do que deveria ser só uma falha técnica facilmente sanável.

De outro lado, mesmo aceitando o argumento de que projeto público é público, o pesquisador fere de morte a defesa da empresa quando destaca que uma credencial de banco em um histórico de chat com o modelo não chega lá por escolha consciente do usuário. Veja, a própria interface da Lovable convida o desenvolvedor a colar o contexto real do projeto pra obter ajuda contextualizada. Além disso, em nenhum momento da conversa o sistema sinaliza que aquela informação pode ir a público.

Quem está certo? Pra mim a Lovable tem razão num ponto secundário: público é público, e parte do conteúdo exposto é fruto de uma configuração que o usuário, em tese, escolheu de forma consciente. Mas o pesquisador tem razão no ponto central: houve BOLA real, com regressão admitida em fevereiro, e com falha clara de escalonamento no canal de bug bounty. Não é um empate. É um 7x1 do @weezerOSINT sobre a Lovable.

E por que isso interessa pra quem não é técnico? Ora, segundo o site da própria empresa, usam a sua plataforma clientes como Uber, Zendesk e HubSpot, dos quais você provavelmente é usuário. E ainda que esperemos mais discernimento da equipe técnica de uma empresa deste tamanho, não há nada impedindo um desenvolvedor menos cuidadoso de jogar uma credencial em alguma IA pra pedir uma ajuda eventual e fechar um ticket no prazo, desesperadamente. Basta isto para que esta credencial passe a existir num servidor de terceiros. Se esse servidor expõe o chat por BOLA, o vazamento não atinge só o desenvolvedor, mas a cadeia inteira de empresas que confiam nele. E isto não vale apenas para a Lovable, mas para qualquer plataforma de IA em que a conversa com o modelo pareça privada porque a interface é íntima, enquanto o conteúdo dessa conversa mora num banco de dados que não é seu. A privacidade percebida e a privacidade efetiva são coisas diferentes, e essa diferença só aparece no dia do vazamento.

Plataformas que crescem rápido e tratam segurança como algo que podemos "ver depois" surgem na mesma velocidade em que a tecnologia evolui, e essa velocidade só aumenta. A adoção destas ferramentas está se mostrando ainda mais rápida, principalmente pelo número exponencialmente crescente de "desenvolvedores assistidos por IA". E se nenhum destes atores está prestando a devida atenção às questões de segurança, temos nós, os usuários, que tratar cada prompt como o que ele de fato é: uma carta sem envelope, num cofre que não é nosso, com a senha rabiscada a lápis na parede ao lado da porta.

publicado originalmente em rcoelho.dev