Как случайно взломать чужое приложение с помощью одного айди
На популярной платформе для "вайб-кодинга" Base44 обнаружили серьёзную брешь в безопасности. Если кратко, любой желающий мог пробраться в чужое приватное приложение, просто прикинувшись своим. Это выяснили в начале июля 2025 года специалисты по кибербезопасности из Wiz Research. Как же так? Всё очень просто: на платформе были открыты определённые программные интерфейсы (API-эндпойнты), через которые злоумышленник спокойно регистрировал учётку на любом приватном приложении. Из документов можно было легко выцепить app_id – покопать на сайте минуту, найти публичный кусок кода, скопировать этот идентификатор.
Больше ничего не требовалось: Base44 даже не просил доказать, что ты действительно тот, за кого себя выдаёшь. Просто говоришь "дайте мне вход в app_id 12345", и двери распахиваются. Абсолютно без лишних вопросов, как будто ты генеральный директор. В атаке не просили пароль, подтверждение личности или что-нибудь похоже.
В результате потенциально могли пострадать приложения, связанные с хранением данных сотрудников, сервисы для обмена личными сообщениями, внутренние базы знаний и даже HR-инструменты, которые обычно управляют самыми конфиденциальными данными. После обнаружения этой уязвимости Wiz сразу обратились к владельцу платформы – компании Wix. Исправления внесли почти мгновенно, буквально за сутки. В Wix заявили, что не нашли признаков того, что кто-то успел воспользоваться дырой. Эксперты отдельно уведомили наиболее уязвимые компании.
Здесь не обошлось без модного теперь термина "вайб-кодинг" – это такой тип программирования, когда вместо написания привычного кода человек просто описывает задачу ИИ. А искусственный интеллект выдаёт готовый технический результат. Всё больше программистов этим пользуются: кажется удобно, пока где-то не всплывают подобные прорехи в безопасности. Проблема в том, что все такие ИИ-системы используют общую базу и инфраструктуру, а значит, всегда есть риск утечки информации – рано или поздно кто-то что-то забудет закрыть.
Статья про уязвимость в Base44 — очередной массовый косяк ИИ-сервисов. Компания Wix, которой принадлежит платформа, проявила чудеса скорости: клепает патч за день. Вот только сама "ошибка" оснащения — куда страшнее: разрешили всем со случайным ID-гостем заходить в базы HR и внутренние приложения крупняка, где хранят PII, чаты и корпоративные сведения. То есть иметь публичный app_id = получить пропуск в максимум закрытых инфосистем — даже не театральный грим надевать не надо. Виноваты, конечно, модные вайб-кодеры, которым лень печатать код руками: раздал команде боту, получил софт — никто не проверил, какая рухлядь у систем под капотом.
Риторика Wix — почти слёзы: никто не воспользовался. Исследователи сами прозвонили жертвам и утешили. Но IT-платформы с "единым контуром" останутся источником дырам, пока инженеры будут загугливать решения по случаю. Менеджеры радостно впаривают всё новое под лозунг "легко и быстро", а ИИ — лишь слой массы на старой буханке.
Из этой истории — три урока: всегда есть те, кому лень думать про безопасность; ИИ-программирование — не гарантия анонимности; третье: каждый айди может стать ключом от квартиры, где ваши данные лежат. Польза для российского айтишника и бизнеса? Увидеть, как обычная халатность превращает платформу в проходной двор. Сарказм не помогает. Здесь — повод задуматься всерьёз.