Meraklı bir kullanıcı mağazanızdaki son faturasını okuyor. URL şöyle: /invoice/4821. Bir hisle 4822 yapıyor. Sayfa yükleniyor. Onun faturası değil. Bir sonraki müşterinin: ad, adres, ürünler, toplam tutar. 4823'ü deniyor. Aynı sonuç. Ekran görüntüsünü alıp paylaşıyor. Siz farkına vardığınızda paylaşım 2.000 kez yayılmış ve üç müşteriniz hesaplarını silmek için yazmış oluyor. Bu BOLA, Lovable'ın 2026'da 48 gün boyunca harekete geçmeden bıraktığı aynı tür açık. 8 milyon kullanıcılı bu büyüklükte bir şirket beklemeye bırakabiliyorsa, bu platformlar üzerine yapılan uygulamalar daha da az dikkat alıyor.
Gerçek bir uygulamada nasıl görünür
Yukarıdaki açığın nazik bir adı var: IDOR (Güvensiz Doğrudan Nesne Referansı) veya BOLA (Bozuk Nesne Düzeyinde Yetkilendirme). Basit açıklaması: uygulamanız URL'deki veya API çağrısındaki kimliğe güveniyor ve isteği yapan kullanıcının verinin sahibi olup olmadığını kontrol etmeyi unutuyor. AI araçları uygulamaları varsayılan olarak böyle yapıyor; çünkü özelliği tanımlarken kullanıcının ne yapabileceğini tanımlıyorsunuz, ne yapmaması gerektiğini değil. URL'de veya istek gövdesinde bir kimliğin olduğu her yerde (fatura, mesaj, profil, paylaşılan belge) aynı boşluk olabilir.
Ne oldu
2026'da güvenlik araştırmacıları, 6,6 milyar dolar değerinde olan ve yaklaşık 8 milyon kişinin kullandığı AI uygulama yapım platformu Lovable'da üç ayrı belgelenmiş güvenlik olayı bildirdi. En sonuncusu, BOLA (Bozuk Nesne Düzeyinde Yetkilendirme) açığıydı. Bu açık, kaynak kodunu, veritabanı parolalarını ve binlerce kullanıcı kaydını açığa çıkardı. Şirket bug bounty raporunu aldı, üst birime aktarmadan kapattı ve sorun kamuya açık olarak ele alınmadan önce 48 gün açık kaldı. Kaynak: https://thenextweb.com/news/lovable-vibe-coding-security-crisis-exposed
- 2026'da tek bir vibe kodlama platformunda üç belgelenmiş güvenlik olayı
- En son sorun: kullanıcıların başka kullanıcıların verisine erişmesine izin veren BOLA
- Kaynak kodu, veritabanı parolaları ve binlerce kullanıcı kaydı açığa çıktı
- Bug bounty raporu üst birime aktarılmadan kapatıldı; açık 48 gün açık kaldı
Lovable ve Replit gibi platform sağlayıcıları, gizlilik ayarlarından kullanıcıların sorumlu olduğunu açıkça söylüyor. Platform sizin güvenlik ekibiniz değil.
Bir müşteri başka müşterinin faturasını okuduğunda yasa ne diyor
Fatura, hem KVKK hem GDPR kapsamında kişisel veri. Türkiye'de KVKK (Kanun 6698) kapsamında idari para cezaları milyonlarca Türk lirasına ulaşıyor ve veri sorumlusu kamuya açık kararda adıyla yer alıyor. Avrupa müşterileri için GDPR Madde 83 kapsamında bu tür ihlal, küresel yıllık gelirin %4'üne veya 20 milyon euroya (hangisi yüksekse) kadar idari para cezası tetikleyebilir. GDPR Madde 33 kapsamında 72 saatlik ihlal bildirim saati farkına vardığınız anda başlıyor. CCPA, LGPD ve DPDP Yasası kendi kayıt başı yaptırımlarını ekliyor. Bu genel bilgidir, yasal tavsiye değildir. Durumunuz için bir avukatla konuşun.
Fatura, adres veya sipariş geçmişi yöneten bir uygulama yayınladıysanız, GDPR kapsamında 'veri sorumlusu'sunuzdur. Bu, uygulamayı Lovable, Cursor veya başka bir AI aracı ile yapmış olsanız bile geçerli.
Bir vibe kodlama platformunda uygulama yaptıysanız bu ne demek
İki şey. Birincisi, platformun kendisinde sizin kodunuz iyi olsa bile uygulamanızı etkileyebilecek sorunlar olabilir. İkincisi ve daha önemlisi, bu platformlarda insanların yaptığı uygulamalar aynı kör noktaları miras alıyor. Vibe kodlama araçları, görünen ve çalışan uygulamalar yapmakta çok iyi. Güvensiz desenleri reddetmek için tasarlanmadılar ve bir kullanıcının başka bir kullanıcının verisini okuyabildiği bir uygulamayı seve seve yayınlayacaklardır.
Bu hafta yapabilecekleriniz
AI ile yapılmış herhangi bir uygulamada, gerçek müşterilerin kullanmasına izin vermeden önce kontrol etmeniz gereken kısa bir liste var. Müşterilerimizin bu listeyi 1 ila 4 hafta süren odaklı bir çalışmada gözden geçirmesine yardım ediyoruz; Upwork üzerinden güvenle ödüyorsunuz.
- Yetkilendirme kontrolleri: kullanıcı A, kullanıcı B'nin verisini okuyabiliyor mu? AI araçların çoğu varsayılan olarak bunu kaçırıyor
- Parola yönetimi: API anahtarları kodunuza işleniyor veya tarayıcıda gösteriliyor mu?
- Hız sınırı: bir kişi uç noktalarınıza saniyede 1000 istek atıp sizi düşürebilir mi?
- Hata izleme: bir şey bozulduğunda dakikalar içinde haberiniz olur muydu, yoksa haftalar mı geçer?
- Yedekleme planı: veritabanınızı yarın kaybetseniz, ne kadar veri kaybedersiniz?
Bunu sizin için neden biz yapabiliriz
Açık kaynak çalışmamız @ibrahim-bayer/strapi-http-toolkit, Strapi tarafından https://strapi.io/integrations/strapi-http-toolkit adresinde resmi olarak listelendi. Üretime birden fazla mobil uygulama gönderdik (https://kendinbak.ibgroup.dev ve https://navigasyon.ibgroup.dev) ve https://leancart.global adresindeki Lean Cart'ı işletiyoruz. İncelediğimiz aynı yapay zeka araçlarını biz de kullanıyoruz; nerede kestirme yaptıklarını biliyoruz. Sadece %10 ön ödemeyle Upwork emanetinde çalışıyoruz, beklentiyi karşılayamazsak ödeme yapmıyorsunuz.
Lovable olayı ücretsiz bir ders. Alın.
Bu dersi öğrenmeniz için kimsenin acı çekmesi gerekmiyor. AI ile yapılmış uygulamanıza, herhangi bir üretim sistemi gibi davranın: aynı güvenlik kontrollerine, izlemeye ve yedeklemeye ihtiyacı var. Vibe ile yapılmış uygulamaların çoğu bir veya iki hafta içinde güçlendirilebilir. Maliyet küçük. Sonradan zor yoldan öğrenmenin maliyeti küçük değil.
AI ile yapılmış uygulamanız için ücretsiz yazılı kod incelemesi alın. Tam olarak hangi sorunları bulduğumuzu ve düzeltmenin maliyetini söyleyeceğiz.