Sua Cloud Está Vazando Sozinha?
Cloud misconfiguration audit — S3/GCS/Azure Blob público, IAM frouxo, security group 0.0.0.0/0, snapshot público, banco RDS exposto.
Por que agora
A dor real
Cloud não é hackeada — é mal configurada. Bucket S3 com 14M de currículos, security group com SSH aberto pro mundo, snapshot RDS público com backup completo. Tudo isso é descoberto por scanner público (Shodan, Censys, Grayhat Warfare) em minutos.
Referências e ameaças
/superficie-de-ataque
Cloud Misconfig
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Object storage público
S3, GCS, Azure Blob, R2 — bucket público, ACL frouxa, signed URL eterna.
Security group / firewall rule
Rule 0.0.0.0/0, porta admin exposta, RDP/SSH/Redis/Mongo na internet.
IAM excessivamente permissivo
Policy * — *, role com AdministratorAccess pra qualquer instance, AssumeRole chain frouxa.
Database e snapshot público
RDS público, snapshot público (RDS, EBS, Disk Image), backup em bucket aberto.
Kubernetes API público
EKS/GKE/AKS com API server público sem allowlist, dashboard exposto.
Container registry público
ECR/GCR/ACR público, imagem com secret em layer, ECR sem image scanning.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Auditoria preventiva e pós-incidente em SaaS, fintech e healthtech. Frequente: encontramos 50+ misconfigs críticas em primeira passagem.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Cloud Misconfig
É diferente de Cloud Security Posture Management (CSPM)?
Complementar. CSPM (Wiz, Lacework, Orca) faz monitoring contínuo. Pentest manual valida exploitability, contextualiza risco, encontra o que regra de scanner não detecta (lógica multi-account).
Faixa de preço?
Conta cloud single (snapshot): R$ 12-30k. Multi-account: R$ 30-90k. Plataforma multi-cloud enterprise: R$ 80-200k.
/contato
Mapear minhas misconfigs
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.