Кто бы мог подумать, что «быстро создать сайт» можно толковать как «быстро раздать секреты» — смешно, если бы не было так грустно.
Представьте: маркетолог, кофе в руках, пара кликов — и готов веб‑инструмент. Только этот инструмент стоит не в тёмном офисе, а на виду у всего Интернета. Lovable, Replit, Base44 и Netlify — волшебники, которые превращают фразы в приложения. Но иногда это волшебство заканчивается фейерверком утечек.
Исследователи RedAccess во главе с Дором Зви промониторили тысячи таких «vibe‑coded» приложений — и нашли около 5 000 без элементарной авторизации. Почти 2 000 содержали, судя по всему, реальные и чувствительные данные: расписания врачей, финансовые отчёты, логи общения чат‑ботов, презентации с коммерческими стратегиями. Фантазируете, как это могло выглядеть? Открыл URL — и перед вами грузовая ведомость, имена клиентов и номера телефонов. Жутко, правда?
Как это произошло? Всё просто: сервисы хостят приложения на своих доменах. Поисковые запросы на них — и voilà, открытые страницы нашли быстро. Похоже на старую историю с S3‑бакетами: не баг платформы, а сочетание удобства и человеческой невнимательности. Но тут добавляется ещё одно: теперь не только инженеры могут выкладывать приложения. Любой сотрудник — и без проверок!
Компании отмахиваются: «У нас есть настройки приватности, это выбор пользователя». И это частично верно. Но разве настройка должна быть главным условием безопасности? Нужны защитные рельсы — безопасные настройки по умолчанию, предупреждения и корпоративная политика. Обучение тоже помогает. И быстрые инструменты для обнаружения открытых приложений.
Так что делать? Не запускать всё «нажимая кнопку и бежать». Проверять, ставить пароли, ревьюить. И помнить: удобство — не оправдание для фразы «я не знал». Хотим ли мы, чтобы наши данные лежали на дороге интернета как забытая сумка? Думаю, нет!