«Вони використовували вайб-кодинг»: хакер створив каталог «небезпечних додатків»

Анонімний хакер запустив «магазин небезпечних iOS-додатків» — публічний реєстр програм, швидко створених за допомогою вайб-кодингу. Каталог, в якому 167 назв, розміщено на платформі Firehound, його вже активно обговорюють у сабреддіті iOS-розробників.

Відбір до каталогу проводиться після сканування iOS-додатків. Якщо результати пошуку відображають багато публічно доступних файлів і баз даних — це перша ознака застосування вайб-кодингу.

Реєстр складається переважно з програм, у яких:

• десятки мільйонів записів у відкритих базах;
• доступні колекції profiles, posts, comments, likes;
• скомпроментовані email-адреси, логіни, метадані активності.

Один із лідерів антирейтингу — додаток для дитячого малювання Adult Coloring Book — Pigment. В ньому понад 7,7 млн ​​документів виявилися доступними без будь-якої аутентифікації.

Як заявив автор проекту, більшість багів виглядають однаково: розробники використовують штучний інтелект для генерації коду та інфраструктури, але не розуміють, що саме передають в продакшн.

Типовий сценарій програми, створеної вайб-кодингом:

• Штучний інтелект пропонує використовувати Firebase, Supabase або MongoDB.
• Конфігурація безпеки або відсутня або залишається дефолтною.
• Ключі та змінні потрапляють у клієнтський код.
• База стає публічною.

Як пишуть інші розробники на Reddit, проблема не в самому вайб-кодингу, а в тому, що його використання часто супроводжується повним нехтуванням кібербезпеки.

Нагадаємо, що за даними CERT-UA хакери останнім часом активно маскуються під українські благодійні фонди.