Uma falha de segurança crítica foi descoberta na Base44, plataforma de desenvolvimento visual de software (“vibe coding”) adquirida pela Wix, colocando em risco a integridade e privacidade de aplicações privadas criadas por desenvolvedores e empresas. O problema envolvia uma API interna desprotegida, que podia ser acessada por qualquer pessoa que soubesse o identificador público do aplicativo-alvo — conhecido como “app_id”.
A vulnerabilidade permitia a obtenção de privilégios administrativos sobre qualquer aplicação criada na plataforma, sem necessidade de autenticação ou credenciais. Segundo pesquisadores de segurança que identificaram o problema, bastava saber o “app_id” — dado que é exposto publicamente em diversas interfaces e URLs — para enviar requisições a uma API interna da plataforma, que respondia com dados sensíveis ou permissões elevadas.
O uso dessa API vulnerável concedia acesso não apenas ao código e funcionalidades internas do aplicativo, mas também a painéis de controle, configurações administrativas e potencialmente a dados armazenados em servidores da aplicação. O problema foi classificado como de alta gravidade por especialistas em segurança cibernética, dado o baixo nível de complexidade para exploração e o potencial de vazamento de informações ou sequestro de sistemas inteiros.
A Wix, responsável pela Base44 desde sua aquisição, reconheceu publicamente a existência da falha e afirmou que as correções já foram implementadas. Em nota oficial, a empresa declarou que a brecha foi “rapidamente identificada e mitigada”, e que uma análise interna detalhada não encontrou nenhuma evidência de exploração ativa ou comprometimento de contas reais até o momento.
Ainda assim, a revelação levanta preocupações sobre os riscos crescentes em plataformas de low-code e no-code, especialmente aquelas voltadas ao desenvolvimento acelerado de aplicações empresariais. Muitas dessas ferramentas priorizam agilidade e simplicidade de uso, mas nem sempre contam com auditorias de segurança à altura do impacto que seus produtos podem causar quando expostos.
Especialistas em segurança consultados pela imprensa destacam que APIs internas não autenticadas representam uma das falhas mais graves em arquiteturas modernas de software. “Quando um sistema permite a execução de funções administrativas apenas com base em um identificador previsível e acessível, ele está violando princípios básicos de autenticação e controle de acesso”, afirmou Gabriel Morais, pesquisador brasileiro de segurança digital com foco em plataformas web.
Até o momento, não há registro público de aplicativos efetivamente invadidos por causa da falha, mas a recomendação para desenvolvedores é que revisem suas permissões, alterem seus identificadores quando possível e fiquem atentos a atividades suspeitas em seus projetos. A Wix informou que notificou todos os usuários afetados diretamente e que está conduzindo uma auditoria de segurança ampliada na Base44.
Pergunta aos leitores: Você utiliza plataformas de desenvolvimento visual como a Base44 ou outras similares? Sente confiança na segurança desses ambientes? Compartilhe sua opinião nos comentários.
Fontes utilizadas:
Wix, Comunicado oficial da Base44, especialistas em segurança, análise técnica de APIs, relatórios de pesquisa em segurança cibernética