BOLA 취약점으로 인한 소스코드 및 DB 자격 증명 유출 사고

Vibe coding upstart Lovable denies data leak, cites 'intentional behavior,' then throws HackerOne under the bus

Jessica Lyons2026년 4월 20일4분intermediate

AI 요약

Context

Free-tier 사용자에게 Public 설정 프로젝트를 강제하며 채팅 및 소스코드 가시성을 개방한 초기 설계 구조. 백엔드 권한 통합 과정에서 과거의 Public 접근 로직이 실수로 재활성화되며 보안 허점 발생.

Technical Solution

Broken Object Level Authorization(BOLA) 취약점 해결을 위한 API Endpoint 소유권 검증 로직 강화
모든 티어에 대해 Private-by-default 설정으로 전환하여 기본 보안 수준 상향
Enterprise 고객 대상 Public 설정 기능을 완전히 비활성화하여 데이터 노출 경로 차단
백엔드 권한 체계 통합 시 발생한 회귀 버그(Regression Bug) 수정을 위한 API 패치 적용
프로젝트 가시성 정의를 '배포된 앱'과 '개발 채팅/코드'로 분리하여 세분화된 접근 제어 모델 구축

실천 포인트

- API Endpoint 설계 시 객체 ID 기반 접근 전 반드시 요청자의 소유권(Ownership)을 검증하는 미들웨어 적용 - 권한 체계 통합 및 리팩토링 후 기존 보안 패치가 무효화되지 않았는지 확인하는 회귀 테스트 케이스 확보 - 'Public' 설정의 범위를 명확히 정의하고 사용자에게 가시성 범위(코드, 채팅, 결과물)를 명시적으로 고지 - 버그 바운티 플랫폼 운영 시 의도된 동작(Intended Behavior)에 대한 정의서를 최신화하여 오판 방지

태그

#Regression Bug #API Security #Access Control #Broken Object Level Authorization #BOLA

원문 읽기