Esta app construida con IA filtro el email de cada usuario. Esta es la linea.

Un fundador genero un CRM en un fin de semana. Funcionaba en la demo. Se embarco el viernes.

La ruta /api/contacts nunca verificaba quien preguntaba. Cualquier usuario autenticado podia leer las filas de cualquier otro inquilino incrementando un id. 14.000 registros. Nadie leyo el diff que elimino el guardador de tenencia — el agente ‘simplifico’ la consulta y el humano aprobo la marca de verificacion verde, no el codigo.

La linea que lo mato: la clausula where org_id = $current que la refactorizacion elimino. Una linea. Ninguna revision la detecto porque nadie leyo la revision.