🔓 Apps que expuseram dados — O caso Lovable
Em 2025, pesquisadores de segurança analisaram apps construídos com Lovable e encontraram um padrão preocupante: muitos tinham o banco de dados configurado como "público" — qualquer pessoa na internet conseguia ver os dados de todos os usuários. Isso não é falha do Lovable, é falha de configuração do desenvolvedor.
🚨 O que aconteceu (em linguagem acessível)
O Lovable usa o Supabase como banco de dados. O Supabase tem um sistema de segurança chamado RLS (Row Level Security) — pense nele como um segurança de boate que verifica quem pode ver quais dados.
Muitos apps construídos no Lovable saíram com o RLS desativado — sem o segurança. Resultado: qualquer pessoa com um pouco de conhecimento técnico poderia acessar os dados de todos os 18.000+ usuários de alguns apps.
Os dados expostos incluíam nomes, emails, histórico de uso e em alguns casos informações mais sensíveis.
✅ Como evitar — O que pedir para a IA fazer
💡 A lição principal
Ferramentas de vibe coding geram código funcional, mas não necessariamente seguro por padrão. Segurança requer intenção explícita — você precisa pedir especificamente que os dados estejam protegidos.
🔑 O problema das senhas e chaves secretas
Imagine que você tem a chave mestra de um cofre bancário. Se você fosse mostrar o cofre para alguém, jamais deixaria a chave visível, certo? Em desenvolvimento de software, existem "chaves" digitais chamadas API Keys e Secrets — e elas devem ser tratadas com o mesmo cuidado.
⛔ NUNCA faça isso
-
✗
Compartilhar o código publicamente com chaves no arquivo — se seu código está no GitHub público com a chave do Stripe no meio, qualquer pessoa pode cobrar cartões usando sua conta
-
✗
Mandar screenshot do código com chaves visíveis — num grupo de WhatsApp ou Telegram, qualquer um pode usar
-
✗
Usar a mesma chave para teste e produção — se a chave de teste vazar, não é um desastre; se a de produção vazar, é
✅ Como gerenciar chaves com segurança
📋 Dados de usuários — LGPD em 5 minutos
A LGPD (Lei Geral de Proteção de Dados) entrou em vigor no Brasil em 2020 e se aplica a qualquer aplicativo que coleta dados de brasileiros — incluindo apps construídos com vibe coding. Ignorá-la pode resultar em multas de até 2% do faturamento, limitadas a R$50 milhões por infração.
📝 O mínimo que você PRECISA ter
💡 Como pedir para a IA gerar a Política de Privacidade
📉 Quando o app cai — Plano de contingência
Todo app cai eventualmente. Servidores têm manutenção, bancos de dados ficam sobrecarregados, deploys dão errado. A diferença entre um fundador amador e um profissional não é não ter problemas — é saber como reagir quando eles acontecem.
Como saber se o app caiu
- • Configure alertas no Vercel/Lovable/Render
- • Use UptimeRobot.com (gratuito) para monitorar
- • Ele envia email/WhatsApp se o site cair
- • Configure página de status simples
Comunicação com usuários
- • Avise proativamente, não espere reclamação
- • Email simples: "Estamos cientes do problema e trabalhando"
- • Informe previsão de resolução (mesmo que estimativa)
- • Quando resolver, envie confirmação e peça desculpas
Plano de ação quando o app cai
Primeiros 5 minutos: diagnóstico
Acesse o dashboard da ferramenta (Lovable/Vercel) e veja se há mensagem de erro. Verifique o Supabase/banco de dados. Leia os logs de erro.
Primeiros 15 minutos: comunicar
Antes de tentar resolver, avise os usuários. "Estamos cientes de uma instabilidade e trabalhando para resolver. Previsão: X horas."
Se não conseguir resolver: reverter
Volte para a última versão estável (snapshot). Um app funcionando em versão anterior é melhor que um app quebrado em versão nova.
💾 Backup — Como garantir que seus dados não desaparecem
Backup é como um seguro de carro — você paga e torce para nunca precisar. Mas quando precisa, é o backup que salva o negócio. Dados de usuários perdidos não se recuperam, e isso pode destruir a confiança que você levou meses para construir.
🛡️ Estratégia de backup em 3 camadas
Camada 1: Backup automático do provedor
Supabase faz backup automático diário dos dados. Vercel mantém histórico de deploys. Lovable mantém histórico de versões. Esses backups existem, mas com retenção limitada — geralmente 7-30 dias.
Camada 2: Export manual semanal
Uma vez por semana, exporte os dados do Supabase (botão de export no dashboard). Salve num Google Drive seu. Isso garante que você tem uma cópia que não depende do provedor.
Camada 3: Backup automático via Zapier
Configure uma automação no Zapier que exporta dados críticos para uma planilha do Google Sheets toda madrugada. Assim você tem backup diário automático sem depender de lembrar manualmente.
⚠️ O teste de backup
Backup não testado não é backup. Uma vez por mês, teste restaurar um backup — mesmo que seja só abrir a planilha e verificar que os dados estão lá e corretos. Backup que existe mas não funciona é pior do que não ter backup: dá falsa segurança.
✅ Checklist antes de lançar — 10 perguntas
Antes de divulgar o link do seu produto para qualquer pessoa que não seja amigo de confiança, passe por este checklist. São as 10 perguntas que separam um lançamento profissional de um amador.
O fluxo principal funciona do começo ao fim?
Execute a ação mais importante do zero, como um usuário que nunca viu o produto. Se travar, não lança.
O app funciona bem no celular?
Teste no iPhone e Android. Mais de 60% dos usuários vão acessar pelo celular.
O RLS (segurança do banco) está ativo?
Cada usuário deve ver apenas seus próprios dados. Verifique no Supabase dashboard.
As chaves secretas estão em variáveis de ambiente?
Nenhuma chave de API deve estar visível no código que pode ser compartilhado.
Existe uma Política de Privacidade?
Deve estar acessível no rodapé ou no cadastro. LGPD obriga isso.
O pagamento foi testado no modo sandbox?
Teste uma compra completa com cartão de teste antes de ativar modo produção.
Existe monitoramento de disponibilidade?
UptimeRobot ou similar configurado para notificar quando o app cair.
O backup automático está configurado?
Verifique que o Supabase está fazendo backup e salve um export manual antes do lançamento.
5 usuários de fora testaram e aprovaram?
Pessoas do público-alvo real, não amigos que querem te agradar. Pelo menos 5.
Você tem email de suporte e sabe como responder?
Os primeiros usuários vão ter dúvidas. Você precisa de um canal de suporte e tempo para responder em menos de 24h.
🔒 Seguro técnico — Quando contratar revisão profissional
Assim como um consultor jurídico revisa um contrato importante antes de assinar, existe a figura do desenvolvedor que faz "revisão de segurança" de um produto antes de ele ir ao ar com usuários reais. Isso se chama auditoria de código ou pentest (teste de penetração).
📋 Quando vale a pena contratar auditoria
Onde encontrar desenvolvedores para revisar
- • 99Freelas, Workana — plataformas BR
- • Upwork, Toptal — internacional
- • LinkedIn — desenvolvedores de segurança
- • Comunidades dev no Discord/Slack
Custo estimado de auditoria
- • Revisão básica de código: R$500-2.000
- • Pentest simples: R$2.000-8.000
- • Auditoria completa com relatório: R$8.000+
- • Investimento que protege receita e reputação
💡 O mínimo gratuito antes da auditoria
Antes de pagar por auditoria, use ferramentas gratuitas: OWASP ZAP para testar vulnerabilidades básicas, Lighthouse do Chrome para acessibilidade e performance, e SSL Labs para verificar a configuração do HTTPS do seu domínio.
✅ Resumo do Módulo 2.7
🎉 Parabéns — Você concluiu a Trilha 2!
Você passou de não saber o que era vibe coding a ter o conhecimento completo para construir, publicar, monetizar e proteger um produto digital real. Agora é hora de agir.
A próxima trilha — Para Executivos — aprofunda decisões estratégicas, gestão de times com IA e como usar vibe coding para acelerar decisões de negócio.