Это приложение, созданное ИИ, слило email каждого пользователя. Вот та строка.

Основатель сгенерировал CRM за выходные. В демо всё работало. В пятницу выпустили.

Маршрут /api/contacts никогда не проверял, кто спрашивает. Любой авторизованный пользователь мог читать строки любого другого арендатора, просто увеличивая id. 14 000 записей. Никто не прочитал дифф, который удалил защиту по арендатору — агент «упростил» запрос, а человек одобрил зелёную галочку, а не код.

Строка, которая всё убила: условие where org_id = $current, которое рефакторинг убрал. Одна строка. Ни одна проверка её не поймала, потому что никто не читал рецензию.