刚刚黑进了一家获得风险投资的语音AI公司。我现在拥有他们的生产数据。 我现在可以访问所有： > 客户的医疗信息 > 通话录音、电话号码、联系人姓名 > 电子邮件地址 > 所有正在运行的代理的SYSTEM_PROMPT > API密钥和秘密 > 组织数据 > OAuth提供者ID > 所有webhook_events 主要是通过IDOR和BAC攻击获取数据。我能够检索所有表列和其他访问漏洞。一旦我拥有这些，绕过并获取所有数据就变得非常简单。