ב-29 ביולי 2025, חשפה חברת Wiz Research פרצת אבטחה משמעותית ב-Base44, פלטפורמת קידוד ה-Vibe הצומחת במהירות שבבעלות Wix.
הפגיעות אפשרה לתוקפים לעקוף אימות ולקבל גישה לאפליקציות ונתונים פרטיים, פשוט על ידי שימוש ב-app_id ציבורי. וויז כינתה אותה "קלה להפליא לניצול".
הבעיה תוקנה תוך 24 שעות, ללא ראיות לניצול לרעה בעולם האמיתי.
מה שויז אומר
וויז תיארה את הפגיעות ב-Base44 כקריטית, קלה לניצול ובעלת השפעה רבה. הם הדגישו כי הפגם אפשר גישה בלתי מורשית לאפליקציות פרטיות באמצעות לא יותר מזהה ציבורי - ללא סיסמה, ללא סודות.
במילותיהם שלהם:
"הפגיעות שגילינו הייתה פשוטה להפליא לניצול - היא אפשרה לכל אחד להירשם לאפליקציה עם app_id לא סודי בלבד. לא נדרש סיסמה, סוד או כל אימות אחר."
"דיווחנו על הבעיה ל-Wix... ובתוך 24 שעות, תיקון נפרס."
וויז נתנה קרדיט ל-Wix על תגובתם המהירה והטיפול האחראי בגילוי הנאות.
מה זה אומר (במילים אנושיות)
חוקרי Wiz מצאו פגיעות חמורה ב-Base44 שאפשרה לתוקפים להגיע בקלות לאפליקציות של משתמשים - מכיוון שאותו מפתח לא מוצפן שימש את כולם. מפתח זה נחשף בכתובות ה-URL של האפליקציה, מה שאפשר לכל אחד:
השתמש במפתח כדי להירשם ולאמת חשבון
ליצור את עצמם כמנהלי מערכת בכל אפליקציה של משתמש
עקיפת כל הגנות הסיסמה וה-SSO
אין צורך בסיסמאות. מפתח אחד פתח אלפי אפליקציות.
וויז כינו זאת עקיפת אימות, ואמרו שהבעיה "קלה באופן מזעזע לניצול" בכל רחבי הפלטפורמה. הם התריעו ל-Base44 (שבבעלות Wix), והתיקון עלה לאוויר תוך פחות מ-24 שעות. וויז אישרה גם שלא זוהתה עד כה פגיעה בלקוחות.
שורה תחתונה:
הבעיה הייתה בצד של Base44 - מדובר היה בפגם עיצוב אבטחה ברמת הפלטפורמה.
Base44 השתמשה באותו מפתח סטטי ולא מוצפן עבור כל אפליקציות הלקוח שנבנו בפלטפורמה.
המפתח הזה אפשר גישה ברמת מנהל, והוא לא היה מוגן כראוי.
אז לא - משתמשים או מפתחים בודדים שהשתמשו ב-Base44 לא עשו שום דבר רע.
אבל מכיוון שהמפתח היה משותף לכל הפלטפורמה, כל מי שידע כיצד לנצל אותו יכול היה לקבל שליטה מנהלית על כל אפליקציה שנבנתה עם Base44 - מבלי להצטרך לפנות למשתמש או חשבון ספציפיים.
זה הופך אותה לפגיעות ברמה המונית, שמקורה באופן שבו המערכת נבנתה - לא באופן שבו היא שימשה.
מה אתה צריך לעשות כדי להישאר בטוח? בעיקרון כלום
נכון ליולי 2025, לא נדרשת פעולה מצד משתמשי Base44 - הם תיקנו את הבעיה בפלטפורמה כולה.
עם זאת, הנה מה שאנחנו ממליצים לעשות כדי להיות בטוחים במיוחד:
📝 בדקו את לוח המחוונים של Base44 לניתוח נתונים - חפשו ביקורי משתמשים או רישומים חריגים לאפליקציות פרטיות שבניתם לפני 9 ביולי 2025.
🔍 ניטור יומני ודפוסי גישה - לדוגמה, חיפוש חשבונות מנהל חדשים או רישומים שלא עברו דרך הצוות שלך. wiz.io
🚨 הפעל ניטור פלטפורמה או התראות - אם יש לך Wiz או כלי אבטחה אחר בענן, השתמש בו כדי לזהות רישומים או גישה בלתי צפויים לאפליקציית Base44.
✅ למען הסר ספק
סטטוס תיקון: בוצע. התיקון הושק על ידי Base44/Wix תוך 24 שעות - ללא צורך בפעולת משתמש.
מה עוד אפשר לעשות: לבדוק ניתוחים ויומנים מלפני 9 ביולי כדי לזהות פעילות מוזרה.
למה זה חשוב: גם אם לא קרה דבר, כדאי לאמוד את החשיפה באמצעות יומני ביקורת וליצור נראות טובה יותר בפעם הבאה.
הנח את זה - שמירה על מעקב
מודאגים שהכלים האהובים עליכם עלולים להיחשף - ואתם אפילו לא תדעו?
הנה מדריך שיעזור לכם לסרוק את החדשות כמו מקצוענים:
"הראו לי את פגיעויות האבטחה או דוחות הפרות האחרונות הקשורות ל-[הכנס כאן את שם הפלטפורמה] מבלוגים, חברות מחקר או חדשות אבטחה ב-30 הימים האחרונים." 
השתמש בו ב:
ג'מיני (הכי טוב לבלוגים של אינטרנט חי + ספקים)
מבוכה (לסיכום אבטחה מהיר)
ChatGPT (אם גלישה מופעלת)
או חפשו ידנית ב-Wiz, BleepingComputer ובבלוגים של ספקים
📍כי כשמדובר בפגיעויות בפלטפורמה, לוח המחוונים שלך לא יגיד לך.
אבל פוסט בבלוג בהחלט יכול להיות.
פרספקטיבה של צוות האור הקפוא
הסיפור הזה לא עוסק בקידוד וייב שהשתבש.
זה עניין של ארכיטקטורת פלטפורמה - והעלות של תנועה מהירה ללא מספיק בדיקות.
הפגיעות של Base44 לא נגרמה כתוצאה מהאופן שבו משתמשים בנו אפליקציות.
זה לא היה קשור להנחיות, חסימות או "וייבים".
זה היה על איך הפלטפורמה עצמה נבנתה.
מפתח מנהל מערכת, משותף ולא מוצפן, נתן גישה ליצירת משתמשי-על בכל אפליקציה בפלטפורמה.
זו לא תכונה שנעשה בה שימוש לרעה - זוהי חשיפה ברמת התשתית.
זה היה יכול לקרות בכל פלטפורמה - low-code, full-code, מבוססת vibe או Legacy - אם האבטחה לא הייתה שם מהיום הראשון.
וזה המסר העמוק יותר כאן.
אם כבר, הסיפור הזה מוכיח שמהירות הצמיחה יכולה לעקוף את מהירות האבטחה - במיוחד כאשר סטארט-אפים מתחרים בשווקים חמים כמו בניית אפליקציות סולו או כלי יצירה המבוססים על בינה מלאכותית.
המסקנה אינה "אל תשתמשו בפלטפורמות וייב".
זה לדעת מה יש מתחת למכסה המנוע לפני שבונים עליו.
ואם אתם מתרחבים כעסק של אדם אחד עם בינה מלאכותית ופלטפורמות ללא קוד?
זוהי התזכורת שלכם: אמון נרכש - לא סתם משודרג.
