Una cuenta gratuita y un par de llamadas a la API: la plataforma Lovable hizo públicos los datos de sus clientes
Grandes nombres y mucho dinero no evitaron el fracaso del servicio.
La startup Lovable, que desarrolla una plataforma para el llamado «vibe-coding», se vio envuelta en un escándalo tras informes sobre una posible filtración de datos de usuarios. La situación se complicó rápidamente: la empresa primero negó el problema, luego reconoció parcialmente errores y finalmente atribuyó parte de la responsabilidad a un socio del programa de recompensas por vulnerabilidades encontradas.
El motivo fue una publicación de un especialista con el seudónimo weezerOSINT, que afirmó que cualquiera podía registrar una cuenta gratuita y acceder a proyectos ajenos. Se trataba del código fuente, credenciales de bases de datos, historial de conversaciones con la IA y la información de los usuarios. Según el autor del hallazgo, bastaron unas pocas solicitudes a la API sin acciones complejas para obtener acceso.
Como causa señalaron una vulnerabilidad del tipo Broken Object Level Authorization: en este fallo el sistema no verifica si el objeto solicitado pertenece a un usuario concreto. Como resultado se exponían datos ajenos. El especialista dijo que envió un informe sobre el problema hace casi mes y medio a través de la plataforma HackerOne, pero la petición fue marcada como duplicada y no se remitió al equipo interno.
Lovable inicialmente rechazó las acusaciones, afirmando que no hubo filtración y que la disponibilidad de los datos estaba relacionada con "comportamiento intencional" y con formulaciones poco claras en la documentación. La empresa explicó que los proyectos con la configuración "público" originalmente implicaban acceso abierto no solo a la aplicación, sino también al código y a los chats. Sin embargo, parte de los usuarios entendía esa configuración de otro modo.
Más tarde la postura cambió. En un nuevo comunicado Lovable reconoció que la respuesta anterior no reflejaba la esencia del problema. La empresa explicó que antes los usuarios gratuitos no podían crear proyectos privados y que después la política cambió. En diciembre de 2025 el modo privado se convirtió en la configuración por defecto y se restringió el acceso a los chats de proyectos públicos.
Sin embargo, en febrero de 2026, durante la revisión del sistema de permisos, el acceso a esos chats se restauró por error. Fue este fallo el que detectó el especialista. En Lovable afirman que el informe no llegó al equipo interno porque el personal de HackerOne consideró el comportamiento del sistema aceptable.
Tras una revisión posterior se corrigió el problema y se volvió a cerrar el acceso a los chats de proyectos públicos. La empresa admitió que un solo enlace a las deficiencias en la documentación no fue suficiente y prometió mejorar el proceso de gestión de los informes de vulnerabilidades.
Lovable está valorada en miles de millones de dólares y es utilizada por grandes empresas, incluidas Uber, Zendesk y Deutsche Telekom. La historia de la vulnerabilidad mostró que incluso las plataformas de IA en rápido crecimiento pueden cometer errores básicos en la protección de datos y no siempre están dispuestas a reconocer el problema de inmediato.