Bir geliştirici, arkadaşının yeni SaaS projesini incelerken, Supabase URL'si ve anon anahtarı gibi hassas bilgilere kolayca ulaştığını fark etti. Bu durum, Supabase kullanan birçok projenin veritabanlarının, özellikle de kullanıcı tablolarının, doğru yapılandırılmadığı takdirde halka açık olabileceği ciddi bir güvenlik açığını ortaya koyuyor. Yazar, bu tür bir güvenlik ihlaliyle üçüncü kez karşılaştığını ve hatta bunlardan birinin tohum aşamasındaki bir girişim olduğunu belirtiyor. Anon anahtarının herkese açık olması amaçlansa da, dikkatli olunmadığında tüm veritabanına erişim sağlayan bir ana anahtara dönüşebiliyor.
Sorunun temelinde, geliştiricilerin ek genel kullanıcı tabloları oluşturması ve bunlar için uygun Satır Düzeyi Güvenliği (RLS) ayarlarını yapmaması yatıyor. Yazar, bu durumun tamamen "vibe-coding" trendine bağlanamayacağını, Supabase'in de bu tür hataları önlemek için daha iyi tasarlanmış olması gerektiğini savunuyor. Örneğin, bir kullanıcı tablosu oluşturulduğunda, RLS etkinleştirilmediği sürece bu tablodaki her şeyin herkese açık olacağına dair büyük bir kırmızı uyarı açılır penceresi gösterilmesi öneriliyor.
Makale, Lovable gibi büyük platformların da Supabase kullandığını göz önünde bulundurarak, kaç kullanıcının bu hatayı yaptığını merak ediyor. Yazar, bu durumun sadece kullanıcı hatası olarak görülemeyeceğini, sistemin bu tür güvenlik açıklarını baştan önleyecek şekilde tasarlanabileceğini vurguluyor. Pocketbase gibi alternatiflerin, varsayılan olarak güvenli erişim kontrolü kurallarıyla gelerek bu tür sorunları daha iyi ele aldığını örnek gösteriyor.
Supabase kullanıcılarının veritabanlarını yanlış yapılandırması, hassas verilerin anon anahtarlar aracılığıyla herkese açık hale gelmesine neden olan yaygın bir güvenlik zafiyetidir.