Har nettopp hacket et VC-finansiert Voice AI-selskap. Nå har jeg produksjonsdataene deres. Jeg har nå tilgang til alt: > medisinsk informasjon om kundene > samtaleopptak, telefonnumre, kontaktnavn > e-postadresser > alle SYSTEM_PROMPT for alle agentene de kjører > API-nøkler og hemmeligheter > organisasjonsdata > OAuth-leverandør-ID-er > alle webhook_events For det meste gjorde jeg IDOR- og BAC-angrep for å få dataene. Jeg klarte å hente ut alle tabellkolonner og andre tilgangssårbarheter. Når jeg først hadde det, var det veldig lett å omgå og få tak i all dataen.