Cette appli construite par IA a divulgué l'email de chaque utilisateur. Voici la ligne.

Un fondateur a généré un CRM en un week-end. Ça fonctionnait dans la démo. Livré vendredi.

La route /api/contacts n’a jamais vérifié qui demandait. Tout utilisateur connecté pouvait lire les lignes de chaque autre locataire en incrémentant un identifiant. 14 000 enregistrements. Personne n’a lu le diff qui a supprimé la garde de locataire — l’agent a « simplifié » la requête et l’humain a approuvé la coche verte, pas le code.

La ligne qui l’a tué : la clause where org_id = $current que la refactorisation a supprimée. Une ligne. Aucune revue ne l’a attrapée parce que personne n’a lu la revue.