Ik heb net een door VC gefinancierd Voice AI-bedrijf gehackt. Ik heb nu hun productgegevens. Ik heb nu toegang tot alle: > medische informatie van klanten > oproepopnames, telefoonnummers, contactnamen > e-mailadressen > alle SYSTEM_PROMPT voor alle agents die ze draaien > API-sleutels en geheimen > org-gegevens > OAuth-provider-ID's > alle webhook_events Vooral heb ik IDOR- en BAC-aanvallen uitgevoerd om de gegevens te verkrijgen. Ik kon alle tabelkolommen en andere toegang kwetsbaarheden ophalen. Zodra ik dat had, was het heel eenvoudig om te omzeilen en alle gegevens te krijgen.