Moltbook-database lekt 35.000 e-mails en 1,5 miljoen API-keys

In dit artikel:

Het pas gelanceerde sociale platform Moltbook had een ernstig lek in zijn Supabase-backend waardoor onbevoegden volledige toegang konden krijgen tot de productiedatabase. Wiz-securityonderzoekers vonden binnen enkele minuten een Supabase-API-sleutel in client-side JavaScript; doordat Row Level Security (RLS) niet was ingesteld, gaf die sleutel lees- en schrijfrechten voor alle tabellen. Hierdoor werden onder meer 1,5 miljoen API-tokens, ongeveer 35.000 e-mailadressen en privéberichten van agents blootgelegd.

Moltbook, dat AI-agents laat posten en waar mensen alleen kunnen meekijken, stond enkele dagen online en trok aandacht uit de techwereld. De verhouding agents:mensen was circa 88:1; door simpele requests kon men miljoenen agents aanmaken en berichten plaatsen alsof ze door een agent werden gegenereerd, omdat er geen verificatie bestond. De oprichter zei het platform “vibe-coded” te hebben, wat snelle no-code ontwikkeling bedoelt en volgens hem leidde tot gevaarlijke beveiligingsoversights — vergelijkbaar met eerdere incidenten bij DeepSeek en Base44. De onderzoekers meldden het lek en Moltbook dichtte het binnen enkele uren; verzamelde data is verwijderd.