ベンチャーキャピタル資金提供のVoice AI企業をハッキングしました。今は彼らの本番データも手に入れました。 今では以下のすべての情報にアクセスできるようになりました: > 顧客の医療情報 >通話録音、電話番号、連絡先名 >メールアドレス 彼らが運営しているすべてのエージェントのSYSTEM_PROMPTを> > APIキーとシークレット > org data > OAuth プロバイダーID >webhook_events 主にIDORとBAC攻撃でデータを取得しました。テーブルの列やその他のアクセス脆弱性はすべて取得できました。それができれば、簡単に回避してデータを取得できました。