Il 29 luglio 2025, Wiz Research ha rivelato una grave falla di sicurezza in Base44, la piattaforma di codifica vibe in rapida crescita di proprietà di Wix.

La vulnerabilità consentiva agli aggressori di aggirare l'autenticazione e ottenere l'accesso ad app e dati privati, semplicemente utilizzando un app_id pubblico. Wiz l'ha definita "straordinariamente semplice da sfruttare".

Il problema è stato risolto nel giro di 24 ore, senza alcuna prova di abusi reali.

Cosa sta dicendo Wiz

Wiz ha descritto la vulnerabilità in Base44 come critica, facile da sfruttare e di grande impatto. Ha sottolineato che la falla consentiva l'accesso non autorizzato ad app private utilizzando solo un identificativo pubblico: nessuna password, nessun segreto.

Con le loro stesse parole:

"Questa vulnerabilità che abbiamo scoperto era incredibilmente semplice da sfruttare: permetteva a chiunque di registrarsi a un'app con un solo app_id non segreto. Non era richiesta alcuna password, segreto o verifica."

"Abbiamo segnalato il problema a Wix... e nel giro di 24 ore è stata implementata una soluzione."

Wiz ha elogiato Wix per la rapidità della risposta e la gestione responsabile della divulgazione.

Cosa significa (in parole umane)

I ricercatori di Wiz hanno scoperto una grave vulnerabilità in Base44 che consentiva agli aggressori di accedere facilmente alle app degli utenti, poiché la stessa chiave non crittografata veniva utilizzata da tutti. Tale chiave risultava esposta negli URL delle app, rendendo possibile a chiunque di:

  • Utilizza la chiave per registrare e verificare un account

  • Crearsi come amministratori sull'app di qualsiasi utente

  • Bypassare tutte le protezioni tramite password e SSO

Nessun hacking. Nessuna password necessaria. Una sola chiave per sbloccare migliaia di app.

Wiz lo ha definito un aggiramento dell'autenticazione e ha affermato che il problema era "incredibilmente facile da sfruttare" su tutta la piattaforma. Hanno avvisato Base44 (di proprietà di Wix) e la correzione è stata pubblicata in meno di 24 ore. Wiz ha anche confermato che finora non è stato rilevato alcun danno per i clienti.

In conclusione:

Il problema era da attribuire a Base44: si trattava di un difetto di progettazione della sicurezza a livello di piattaforma.

Base44 utilizzava la stessa chiave statica e non crittografata per tutte le app dei clienti create sulla piattaforma.
Quella chiave consentiva l'accesso a livello di amministratore e non era adeguatamente protetta.

Quindi no, i singoli utenti o sviluppatori che hanno utilizzato Base44 non hanno fatto nulla di sbagliato.
Ma poiché la chiave era condivisa sull'intera piattaforma, chiunque sapesse come sfruttarla poteva ottenere il controllo amministrativo su qualsiasi app creata con Base44, senza dover prendere di mira un utente o un account specifico.

Ciò la rende una vulnerabilità di massa, radicata nel modo in cui il sistema è stato progettato, non nel modo in cui è stato utilizzato.

Cosa devi fare per restare al sicuro? Praticamente niente

A partire da luglio 2025, non è più richiesta alcuna azione da parte degli utenti Base44: il problema è stato risolto su tutta la piattaforma.

Detto questo, ecco cosa ti consigliamo di fare per essere ancora più sicuro:

  • 📝 Controlla la dashboard di analisi Base44: cerca eventuali visite o registrazioni insolite degli utenti ad app private che hai creato prima del 9 luglio 2025

  • 🔍 Monitora i registri di accesso e i modelli, ad esempio cerca nuovi account amministratore o registrazioni che non sono passate attraverso il tuo team. wiz.io

  • 🚨 Abilita il monitoraggio della piattaforma o gli avvisi: se disponi di Wiz o di un altro strumento di sicurezza cloud, utilizzalo per individuare registrazioni o accessi imprevisti alle app Base44.

✅ In breve

  • Stato della correzione: Completato. La patch è stata distribuita da Base44/Wix entro 24 ore, senza alcun intervento da parte dell'utente.

  • Cos'altro puoi fare: esamina le analisi e i registri precedenti al 9 luglio per individuare attività anomale.

  • Perché è importante: anche se non accade nulla, dovresti valutare l'esposizione tramite i registri di controllo e creare una visibilità migliore la prossima volta.

Prompt It Up - tenere d'occhio

Temi che i tuoi strumenti preferiti possano essere esposti senza che tu te ne accorga?

Ecco un suggerimento per aiutarti a leggere le notizie come un professionista:

"Mostrami le ultime segnalazioni di vulnerabilità o violazioni della sicurezza relative a [inserisci qui il nome della piattaforma] provenienti da blog, società di ricerca o notizie sulla sicurezza degli ultimi 30 giorni."

Utilizzalo in:

  • Gemini (ideale per web live + blog dei venditori)

  • Perplessità (per un rapido riepilogo sulla sicurezza)

  • ChatGPT (se la navigazione è abilitata)

  • Oppure cerca manualmente su Wiz, BleepingComputer e sui blog dei fornitori

📍Perché quando si tratta di vulnerabilità della piattaforma, la tua dashboard non te lo dirà.
Ma un post sul blog potrebbe farlo.

Prospettiva del team di Frozen Light

Questa storia non riguarda un errore nella codifica delle vibrazioni.
Riguarda l'architettura della piattaforma e il costo di muoversi velocemente senza controlli sufficienti.

La vulnerabilità Base44 non era causata dal modo in cui gli utenti creavano le app.
Non si trattava di suggerimenti, blocchi o "vibrazioni".
Riguardava il modo in cui era stata costruita la piattaforma stessa.

Una chiave di amministrazione hardcoded, condivisa e non crittografata consentiva di creare superutenti su ogni singola app sulla piattaforma.
Non si tratta di un uso improprio della funzionalità, ma di un'esposizione a livello di infrastruttura.

Ciò sarebbe potuto accadere su qualsiasi piattaforma (low-code, full-code, basata su vibe o legacy) se la sicurezza non fosse stata presente fin dal primo giorno.
Ed è questo il messaggio più profondo.

Se non altro, questa storia dimostra che la velocità di crescita può superare la sicurezza, soprattutto quando le startup si lanciano in mercati in voga come quello dello sviluppo di app in solitaria o degli strumenti di creazione basati sull'intelligenza artificiale.

La morale della favola non è "non usare le piattaforme vibe".
Bisogna sapere cosa c'è sotto il cofano prima di costruirci sopra.

E se si sta espandendo un'attività individuale con piattaforme AI e no-code?
Ecco un promemoria: la fiducia si conquista, non si esalta.

Share Article

Latest articles

#AI Ethics 1 August
Catharina Doria - Ethics Meets Entertaining
#AI News, #Anthropic, #Claude 31 July
Anthropic Sets Weekly Usage Limits Measured in Hours Affecting Heavy Users and API
#AI News, #CoPilot, #Microsoft 31 July
Microsoft Turns Edge Into a Full AI Browser
#AI News, #AI Security, #Vibe Coding 30 July
Base44 Vulnerability Exposed: Hardcoded Admin Key Left All Apps at Risk

Get stories direct to your inbox

We’ll never share your details. View our Privacy Policy for more info.