>_ VIBECODECONTROLE Controleren
← Alle artikelen Startup verliest 3.000 euro door één vergeten API-sleutel

Startup verliest 3.000 euro door één vergeten API-sleutel

Het begon met een simpele vraag in Cursor: “Zet mijn app klaar voor productie.”

De AI deed netjes zijn werk. Code geschreven, configuratie aangevuld, de connectie met de database gelegd. En toen, zonder erbij na te denken, deed de ondernemer wat hij altijd deed: git commit -m "prod setup" en git push.

De repo was publiek. Want dat was makkelijker voor de developer die later zou meekijken.

Wat er die nacht gebeurde

Binnen 4 minuten na de push hadden geautomatiseerde bots de repo al gescand. Die bots zijn 24/7 actief en zoeken specifiek naar sleutels als AWS_SECRET_ACCESS_KEY of OPENAI_API_KEY in nieuwe commits.

Om 03:17 begon het verbruik. Iemand, waarschijnlijk een script en niet eens een mens, had de sleutel gepakt en servers opgestart om crypto te minen.

Om 09:40 lag er een e-mail van AWS in de inbox: ongebruikelijk verbruik gedetecteerd. Rekening op dat moment: 2.847 euro. Aan het einde van die dag: 3.100 euro.

AWS heeft later een deel teruggestort na een bezwaarschrift. Maar dat kostte twee weken en veel stress.

De fout zit niet in de code

Het probleem was niet dat de AI iets fout deed. De AI zette de sleutel gewoon in het bestand waar je hem had gezet en committe wat er was.

De fout was dat niemand, mens noch AI, even checkte: staat hier iets in wat niet in een repo thuishoort?

En dat is precies de blinde vlek van vibecoders. Je bouwt snel, de AI helpt je verder, en de stap “even alles nalopen” voelt als vertraging.

Wat je morgen kunt doen

  1. Voeg een .gitignore toe met .env erin, als het er nog niet instaat
  2. Controleer je repo-geschiedenis op woorden als KEY, SECRET, PASSWORD (GitHub heeft hier een ingebouwde scanner voor, zet die aan)
  3. Zet je repo op privé totdat je weet wat erin staat
  4. Gebruik nooit echte sleutels in code, altijd via omgevingsvariabelen

Een vergeten .env in een publieke repo is een van de meest voorkomende en duurste fouten die we zien bij vibecode-projecten. Wil je weten of jouw project dit risico loopt? Dat checken we als eerste bij een controle.

Wil je jouw project laten controleren?

Binnen 3 dagen een concreet rapport van een specialist.

Laat jouw project controleren →

Gratis

Meer leren over goed en veilig vibecoden?

Ontvang gratis tips rechtstreeks in je inbox.

Geen spam. Uitschrijven kan altijd.