La nuova frontiera dello shadow IT non la costruiscono gli hacker, ma i product manager nel weekend. A rischio tanti sensibili di ogni tipo Un product manager che nel weekend costruisce un modulo di raccolta dati usando un tool di intelligenza artificiale come Lovable o Replit, lo collega a un database live, lo pubblica su un URL pubblico indicizzato da Google, e torna al lavoro il lunedì senza aver detto una parola al reparto IT. L'applicazione esiste, raccoglie dati sensibili, ed è completamente invisibile a chiunque si occupi di sicurezza in azienda. I numeri della società israeliana RedAccess confermano che questo scenario è già la norma. Il team ha scoperto 380.000 asset pubblicamente accessibili — applicazioni, database e infrastrutture — costruiti con strumenti come Lovable, Base44 e Replit. Di questi, circa 5.000 contenevano informazioni aziendali sensibili. Tra i dati esposti si trovavano registri finanziari interni di una banca brasiliana e cartelle cliniche con note medico-paziente, tutti indicizzati da Google perché le impostazioni predefinite delle piattaforme erano configurate su "pubblico".