Je viens de pirater une entreprise de Voice AI financée par des VC. J'ai maintenant leurs données de production. J'ai maintenant accès à tout : > informations médicales des clients > enregistrements d'appels, numéros de téléphone, noms de contact > adresses e-mail > tous les SYSTEM_PROMPT pour tous les agents qu'ils utilisent > clés API et secrets > données d'organisation > IDs de fournisseur OAuth > tous les webhook_events Principalement, j'ai effectué des attaques IDOR et BAC pour obtenir les données. Une fois que j'avais cela, il était très facile de contourner et d'obtenir toutes les données.