[cases_index]ENGAJAMENTOS REAIS · ANONIMIZADOS

Antes que virasse manchete, virou fix.

Todos os cases abaixo foram anonimizados sob NDA. Números, setor e vetor são reais — nome do cliente, não.

200+

engajamentos entregues

4.500+

falhas exploráveis reportadas

R$ 180M+

impacto potencial evitado

setor

Fintech · Open Finance

vetor

API misconfig + IDOR

fix

72h

case/01

Acesso total a ambiente de produção via API interna não autenticada

Endpoint administrativo exposto por misconfig em API gateway. Combinado com IDOR na rota de transferências, permitia pivot para qualquer conta. Identificado no dia 2 do engajamento.

impacto evitado:R$ 48M em potencial movimentação bloqueada

setor

Healthtech · SaaS

vetor

Cloud misconfig

fix

24h

case/02

Exposição de 1.2M prontuários via bucket S3 em staging

Bucket de staging replicava dados de produção sem criptografia e sem controle de acesso. Corrigido antes da auditoria ISO externa.

impacto evitado:Multa LGPD evitada · incidente não-reportável

setor

Indústria · OT

vetor

Segmentação + credenciais legadas

fix

2 semanas

case/03

Movimento lateral de TI para planta industrial via VPN legada

Engajamento de Red Team via phishing. Pivot de estação de engenharia para rede OT via VPN com credenciais padrão. Corrigido com segmentação + jump host + MFA.

impacto evitado:Prevenção de paralização estimada em 8 dias

setor

E-commerce · B2C

vetor

XSS + sessão sem rotação

fix

96h

case/04

Cadeia de exploração: XSS → tomada de conta admin → saldo

XSS refletido em busca + política permissiva de cookies permitiu roubo de sessão administrativa. Identificado no pentest padrão.

impacto evitado:Bloqueio de fraude estimada em R$ 2.3M/mês