Vừa hack một công ty Voice AI được tài trợ bởi VC. Bây giờ tôi có dữ liệu sản phẩm của họ. Bây giờ tôi có quyền truy cập vào tất cả: > thông tin y tế của khách hàng > ghi âm cuộc gọi, số điện thoại, tên liên hệ > địa chỉ email > tất cả SYSTEM_PROMPT cho tất cả các đại lý mà họ đang chạy > khóa API và bí mật > dữ liệu tổ chức > ID nhà cung cấp OAuth > tất cả webhook_events Chủ yếu, tôi đã thực hiện các cuộc tấn công IDOR và BAC để lấy dữ liệu. Khi tôi có được điều đó, thật dễ dàng để vượt qua và lấy tất cả dữ liệu.