- Los investigadores encuentran que la plataforma de “codificación de vibración” de Base44 contenía falla de seguridad
- Esto permitió a los actores de amenaza acceder a datos que deberían ser privados
- El error fue aplastado en 24 horas sin signos de abuso.
La plataforma de codificación VIBE Base44 contenía una importante vulnerabilidad de seguridad que podría haber permitido a los usuarios no autorizados acceder a las aplicaciones privadas de otras personas, advirtieron los expertos.
El problema fue descubierto a principios de julio de 2025 por profesionales de seguridad de Wiz Research, quien explicó cómo los puntos finales de API expuestos en la plataforma de Base44 permitieron a los actores de amenaza crear una cuenta verificada en aplicaciones privadas que usan nada más que APP_ID, un código que es públicamente visible.
Normalmente, los sistemas de autenticación solicitan credenciales fuertes y medios de verificación de identidad, pero la configuración de Base44 aparentemente permite a cualquiera evitar esas verificaciones usando solo ese código. Uno podría pensar en ello como aparecer en un edificio de oficinas bloqueado, gritando “Estoy aquí para APP_ID 12345”, y las puertas se abrirían, no se hacen preguntas.
Codificación de ambientes
Los atacantes podrían obtener fácilmente una APP_ID de los archivos públicos y usarlo para “registrarse” a través de rutas API no seguras, accediendo a aplicaciones que manejan datos confidenciales de los empleados y comunicaciones de la empresa.
La vulnerabilidad podría haber afectado las aplicaciones empresariales que manejan RRHH e información de identificación personal (PII), chatbots internos y bases de conocimiento, así como herramientas de automatización utilizadas en las operaciones diarias.
Una vez que Wiz descubrió el defecto, contactó a Wix, la compañía que posee Base44, quien lo arregló en un día.
Wix agregó que no encontró signos de abuso por parte de los actores de amenaza. Los investigadores también identificaron aplicaciones vulnerables y se comunicaron directamente con algunas de las empresas afectadas.
La codificación de vibos es un término de jerga relativamente nuevo para codificar con la ayuda de IA generativa y a través del lenguaje natural en lugar de escribir código real. Un desarrollador discutirá sus ideas y necesidades con la IA, que volvería con el código. Últimamente ha ganado mucha popularidad, pero las noticias como esta destacan que el método no está exento de riesgos.
Dado que la infraestructura de fondo se comparte, siempre existe el riesgo de que la información se filtre en algún lugar.
A través de Revista de infosecuridad
