auditoria para saas feitos com cursor, lovable e bolt

Cursor e Lovable
não ensinam seu app
a se defender.

Você subiu um SaaS em semanas. Funciona, vende, cresce. E está cheio de buracos que qualquer um com um navegador consegue explorar. Encontramos esses buracos antes que alguém no Twitter encontre.

caso real · set 2025
O Sapphos — app construído com IA — chegou a 17 mil usuárias e encerrou em 48 horas. Bastou alterar um número na URL para acessar CPF, fotos e documentos de qualquer usuária. O bug levaria 2 horas para corrigir. Corrigir 17 mil dados vazados é impossível.
17kusuárias expostas
48haté encerrar
IDORfalha evitável
demonstração ao vivo
Veja o IDOR acontecendo. Mude um número, acesse dados que não são seus.
GET api.seusaas.com.br/api/users/1024
200 OK 142ms
você está logado como Maria · ID 1024 

  "id" 1024,
  "nome" "Maria Silva",
  "email" "maria@exemplo.com",
  "cpf" "123.456.789-00",
  "telefone" "(11) 98765-4321",
  "plano" "pro"
Vimos isso em 9 de cada 10 SaaS que auditamos. Quer ver no seu? Ver diagnóstico →
Testar ID:
416M contas brasileiras expostas no último ano
3.253 vazamentos só em 2024 — recorde histórico
+500% processos LGPD em 2024
R$50M multa máxima por incidente
o que já aconteceu
Três casos que mostram o que um único bug pode fazer com seu produto, sua reputação e sua conta bancária.
Sapphos — app vibe-coded encerra em 48h após IDOR expor 17 mil usuárias
SET 2025
IDOR API SEM AUTH VIBE-CODED
A API não verificava permissões. Alterar o ID na URL dava acesso a fotos, CPF, RG e data de nascimento de qualquer usuária. Publicado no Twitter antes da correção. Em menos de 48h: app fora do ar, base deletada, reembolsos emitidos. Produto encerrado.
afetadas17.000
dadosCPF · RG · fotos
desfechoproduto encerrado
Banco Neon — hacker exige R$ 2,8M após falha de domínio .br
FEV 2025
FALHA DE DOMÍNIO EXTORSÃO FINTECH
Falha de configuração de domínio — presente em quase todos os sites .br — deu acesso à fintech. O atacante exigiu 5 BTC (~R$ 2,8M) pelo silêncio. Investigado pela Polícia Federal.
resgate~R$ 2,8M
vetorconfig domínio .br
investigaçãoPolícia Federal
STJ: dano moral presumido — sem precisar provar prejuízo para processar
2025
LGPD JURISPRUDÊNCIA
Expor dados sem autorização já gera direito a indenização, independente de dano comprovado. Combinado com multas de até R$ 50M por infração, um incidente pode encerrar um SaaS em crescimento.
multa máximaR$ 50M/infração
prova necessárianenhuma
ações LGPD+500% em 2024
3.253vazamentos em 2024 — recorde histórico
416Mcontas brasileiras expostas no último ano
196contas comprometidas por 100 habitantes
Checklist gratuito · 12 pontos que todo SaaS deveria checar antes de ir a mercado
PDF pronto pra imprimir. Você descobre em 5 minutos se está exposto aos vetores mais comuns.
Seu email — o checklist chega na hora.
✓ Checklist enviado. Verifique sua caixa de entrada (e o spam, por garantia).
Não consegui enviar agora. Tente novamente ou fale pelo WhatsApp.
o que encontramos
As mesmas falhas aparecem em 9 de cada 10 SaaS que olhamos. Você acha que o seu é a exceção?
CRÍTICO
IDOR — acesso a dados de outros usuários. Qualquer usuário vê ou modifica dados alheios mudando um ID na URL. Exatamente o que derrubou o Sapphos.
CRÍTICO
Tokens e chaves de API expostos. Credenciais de banco, Stripe ou serviços externos visíveis no frontend ou em repositórios públicos.
CRÍTICO
Autenticação quebrada. Rotas administrativas acessíveis sem login, ou JWT validado apenas no frontend — ou seja, validado por ninguém.
MÉDIO
Injeção SQL. Queries com concatenação de string — um atacante extrai ou deleta seu banco inteiro com uma URL bem formada.
garantia e preços
Você só paga se a gente encontrar algo que possa te dar dor de cabeça.
Sem falhas, sem fatura.
Auditamos seu SaaS por completo — APIs, login, permissões, exposição de dados. Se no fim a gente não achar nada que possa vazar dados, derrubar seu produto ou te colocar na justiça, você não paga nada. Zero. Sem taxa de mobilização.
Em termos técnicos: se nenhuma vulnerabilidade classificada como média ou alta segundo o padrão CVSS for encontrada, a auditoria é gratuita. Você recebe o relatório mesmo assim.
essencial
R$ 1.200 / auditoria
APIs públicas, autenticação e os vetores mais comuns. Ideal para validar antes de chamar atenção.
mais procurado
completo
R$ 2.800 / auditoria
Cobertura total: lógica de negócio, permissões, infraestrutura e relatório executivo para investidores.
retainer
sob consulta
Monitoramento contínuo e revisão a cada sprint. Para SaaS em crescimento acelerado.

Antes que alguém no Twitter
encontre o bug primeiro.

Deixe seu email — entraremos em contato em até 24h para agendar uma conversa rápida.

Solicitação sem compromisso — você decide se avança só depois da conversa.

ou
falar pelo whatsapp

Sem spam. Sem vínculo. Você só paga se encontrarmos algo.

Solicitação recebida

Entraremos em contato em até 24h.