Только что взломал компанию Voice AI, финансируемую венчурным капиталом. Теперь у меня есть их производственные данные. Теперь у меня есть доступ ко всему: > медицинская информация клиентов > записи звонков, номера телефонов, имена контактов > адреса электронной почты > все SYSTEM_PROMPT для всех агентов, которые они используют > ключи API и секреты > данные организации > идентификаторы поставщиков OAuth > все webhook_events В основном я использовал атаки IDOR и BAC, чтобы получить данные. Мне удалось извлечь все столбцы таблиц и другие уязвимости доступа. Как только я это получил, было очень легко обойти и получить все данные.