Executando verificação de segurança...
11
kauatorres
1 min de leitura ·

Vazamento de dados em uma Startup de relacionamento - App Sapphos

Fala, pessoal!

Recentemente, o aplicativo de relacionamento Sapphos teve uma falha grave. A API estava exposta, permitindo que qualquer pessoa acessasse dados de usuários apenas alterando o ID no parâmetro da URL. Entre as informações expostas estavam fotos, nome, data de nascimento, telefone e até documentos pessoais. A pessoa que achou esta falha, resolveu postar no X (antigo twitter), expondo a falha antes mesmo de resolverem, podendo ter entrado em contato e ocultar o link da API. Muitas pessoas no X estão dizendo que as donas do app fizeram o app todo com IA (vibe code) e gerou muito assunto na bolha dev. Será que os apps feitos com IA tendem a ser mais vulneráveis, ou é só descuido dos dev mesmo? O que acham desse tipo de falha? Como resolveriam? Atualmente também estou criando um app (somente front) pelo Lovable, sou dev Backend. Queria dicas para evitar esse tipo de coisa também.

Também saiu em uma matéria no Tecmundo: https://www.tecmundo.com.br/seguranca/406906-sapphos-tinder-para-mulheres-tem-falha-grave-denunciada-por-usuario-e-sai-do-ar.htm

Carregando publicação patrocinada...
5
kht

O principal erro, a meu ver, foi não verificar o código que a IA gerou. Isso é o básico que qualquer um deveria fazer, não dá pra aceitar cegamente nenhum código criado por nenhuma dessas ferramentas. Tem que conferir sempre.

Nos lugares que li não foi mencionado, mas caso eles tenham verificado e mesmo assim a falha passou, aí o problema é outro (equipe despreparada).

E mesmo que não tivesse sido gerado por IA, ainda sim um dos testes mais básicos e essenciais é justamente verificar se alguém consegue acessar o que não devia. Tanto faz se foi feito com ou sem IA, a equipe errou feio em não testar adequadamente.

Ou seja, independente de terem ou não feito vibe coding, a minha impressão - com base no que foi divulgado - é que o app foi mal feito e mal testado.

apps feitos com IA tendem a ser mais vulneráveis

Eu diria que sim, por dois motivos:

  1. As ferramentas atualmente ainda geram código cheio de vulnerabilidades de segurança
  2. As pessoas não conferem, e consequentemente não corrigem as falhas, seja por falta de conhecimento ou preguiça/excesso de confiança na IA

A solução, como já dito, é não confiar cegamente na IA, sempre conferir o que ela fez, e testar, testar, testar...

4
maniero

Muito antes de vibe coding e coisas do tipo, vivia acontecendo isso, não só falha de segurança, mas erros absurdos de arredondamento de valor monetário, perda de dados, falhas de concorrência, gastos absurdos de hardware/nuvem, UX medonha e uma lista enorme de problemas causados por programadores, alguns com diplomas, até mesmo de universidades renomadas, mas a maioria porque de um jeito ou de outro já fazia vibe trainning, ou como eu sempre chamei, "curso que ensina receita de bolo", que são cursos feitos para agradar o comprador e pouco ou zero compromisso com a formação da pessoa. Por isso quero fazer algo diferente e gratuito. E exigir que a pessoa faça certo para poder dizer que estudou com o que eu criei.

S2

Farei algo que muitos pedem para aprender a programar corretamente, gratuitamente (não vendo nada, é retribuição na minha aposentadoria) (links aqui no perfil também).

1
c4azz1

Esse tema de vibe coding e segurança, ainda vai render muito, infelizmente.

Dá até vontade de criar alguma ferramenta que faz os checks básicos de segurançade site e vender por assinatura.

Alguém já viu algo assim?
Sei que fazer os checks básicos de segurança de site é um escopo amplo, mas acho um assunto legal de discutir aqui.

Conteúdo excluído
1
KaioPiola

Eu concorco totalmente com você.
A IA é ótima como ferramenta.. FERRAMENTA.
Não como se fosse um "funcionário" que você solicita uma tarefa e ele faz pra você.
Tendo a revisão adequada e o conhecimento suficiente pra interferir quando necessário, ela ajuda pra caramba.