SPHIOR Logo
SPHIOR
Segurança contínua como serviço

Do diagnóstico de segurança às evidências de auditoria, o SPHIOR cuida disso todo mês.

Alinhada com SOC 2, ISO 27001 e OWASP, a SPHIOR entrega evidências mensais para engenheiros, executivos e auditores. Integração com Vanta e Drata disponível.

Check your site for free

https://
Delegue para a SPHIORCriar conta
O custo da inação

Quando chega às notícias, já é um evento financeiro.

O que aconteceu com empresas que adiaram a segurança. Cada caso abaixo é um fato documentado, não uma advertência teórica.

Casos reais de violações de segurança

Code Spaces2014

Continuidade

Paragem em 12h

12 horas do ataque à falência total

A conta raiz da AWS não tinha MFA: credenciais roubadas bastaram para aceder. Após recusar o resgate, o atacante apagou todas as instâncias, buckets e snapshots. Sem possibilidade de recuperação, a empresa encerrou no mesmo dia. Ignorar o MFA na configuração cloud destruiu todo o negócio.

Causa

Sem MFA na consola de administração cloud

Yahoo! (US)2013–2014

Contas afetadas

3mil M+

Hash fraco eliminou ~350M$ de valor

Duas intrusões em 2013 e 2014 não foram divulgadas até 2016. As senhas MD5 eram facilmente crackeáveis, permitindo exploração contínua. 3 mil milhões de contas foram afetadas. O preço de venda à Verizon foi reduzido em 350M$ pelo incidente ocultado.

Causa

Hash MD5 obsoleto e divulgação tardia

British Airways2018

Clientes afetados

~500K

22 linhas de código que abalaram uma marca global

O Magecart injetou 22 linhas de código espião num JavaScript de terceiros na página de pagamento. Os dados de cartão foram enviados em tempo real durante quase duas semanas. ~500K clientes afetados; a proposta inicial de multa do RGPD atingiu £183M.

Causa

Injeção de script malicioso (Magecart)

Equifax2017

Registos expostos

148M

Uma vulnerabilidade sem patch expôs 148M de pessoas

Um patch crítico para Apache Struts ficou sem aplicar durante dois meses. Os atacantes exploraram a falha, permaneceram 76 dias sem deteção e exfiltraram 148M registos com números de segurança social. Os acordos totais superaram 575M$. O CEO foi convocado ao Congresso.

Causa

CVE-2017-5638 sem patch por 2 meses

Target2013

Cartões roubados

40M

Credenciais de fornecedor AVAC expuseram 40M cartões

Credenciais roubadas de um fornecedor de climatização deram acesso à rede corporativa. A falta de segmentação permitiu propagar malware para 4.000+ terminais POS durante o Natal. 40M cartões de pagamento e 70M dados pessoais foram comprometidos.

Causa

Rede de fornecedores não isolada dos sistemas POS

SolarWinds2020

Organizações afetadas

18.000+

Uma atualização legítima tornou-se arma de estado

Os atacantes inseriram a backdoor SUNBURST numa atualização legítima do software de monitorização. Mais de 18.000 organizações instalaram-na — incluindo o Tesouro e o Departamento de Estado dos EUA. A intrusão passou despercebida ~9 meses, redefinindo ataques à cadeia de abastecimento.

Causa

Pipeline de build comprometido com injeção de código

Change Healthcare2024

Perdas totais

~3mil M$+

Um MFA em falta paralisou a saúde dos EUA durante semanas

Uma conta sem MFA num sistema crítico foi a única entrada necessária. Uma senha roubada bastou para aceder ao núcleo do sistema. Farmácias e hospitais dos EUA não conseguiram processar receitas e pagamentos durante semanas. As perdas da UnitedHealth superaram 3mil M$.

Causa

MFA ausente em conta de acesso crítico

CrowdStrike2024

Máquinas em colapso

8,5M

A atualização de um fornecedor de segurança causou a maior falha IT

Uma atualização de conteúdo defeituosa — não malware — fez colapsar 8,5M máquinas Windows globalmente. Aeroportos, bancos, hospitais e emissoras pararam em simultâneo. Apenas as Fortune 500 registaram perdas superiores a 5,4mil M$.

Causa

Atualização sem validação suficiente em produção

Bybit2025

Valor roubado

~1,4mil M$

Phishing tomou o controlo das chaves de uma carteira multi-sig

Phishing e exploração de acessos permitiram controlar o ambiente de assinatura de uma carteira multifirma. O protocolo multisig funcionava, mas a camada humana de gestão das chaves foi comprometida. ~1,4mil M$ em Ethereum foram roubados no maior roubo cripto individual da história.

Causa

Phishing sobre gestores de chaves multi-sig

Arquitetura de cobertura

Não apenas monitoramos manchetes. Mapeamos sua superfície de ataque real.

Verificações de disponibilidade não são o mesmo que testes de segurança. A SPHIOR avalia continuamente quatro camadas distintas — da superfície pública às regiões autenticadas.

SPHIOR

Superfície pública

Tudo que um atacante vê primeiro

Domínios, SSL/TLS, portas expostas, metadados vazados. A superfície que define sua postura de risco inicial.

Configuração

Configurações incorretas são a vulnerabilidade mais ignorada

Cabeçalhos de segurança, configurações TLS, armazenamento público, desvio de dependências — verificados continuamente, não anualmente.

API & Endpoints

Portas ocultas vivem no seu tráfego

Endpoints não documentados, respostas com vazamentos, validação de entrada fraca. Os riscos únicos ao limite da sua aplicação.

Autenticado

O impacto real está atrás do login

No plano Enterprise, com propriedade verificada e consentimento, a SPHIOR executa testes dinâmicos (DAST) nas regiões autenticadas.

Cloud Infrastructure

Encontre erros de configuracao na nuvem antes dos atacantes

Auditoria automatizada de politicas IAM, exposicao de armazenamento, regras de firewall e configuracoes de criptografia em AWS, GCP, Azure e Cloudflare. O plano Enterprise detecta vulnerabilidades de configuracao na nuvem mensalmente.

Operações de segurança como serviço

Delegue um mês completo de operações de segurança para a SPHIOR.

Avaliações externas contínuas, descobertas priorizadas e relatórios adaptados por função. O trabalho que normalmente exige uma equipe de segurança — entregue como serviço, todo mês.

STL 01

Monitoramos de fora, continuamente

Não é um scan único. Uma postura externa contínua — mês após mês, do mesmo ponto de vista de um atacante.

STL 02

Apenas as descobertas que importam

Separamos sinal do ruído para que o que chega até você seja o trabalho que realmente vale a pena fazer este mês.

STL 03

Adaptado para o leitor certo

Engenheiros recebem a solução. Liderança recebe o risco. Auditoria recebe as evidências. Mesma fonte — três entregas otimizadas.

STL 04

Entregue no prazo, todo mês

Os relatórios chegam no mesmo dia todo mês, para que 'como estamos em segurança?' sempre tenha uma resposta atualizada.

Relatórios para tomada de decisão

Uma avaliação. Três públicos. Três saídas otimizadas.

Relatórios de vulnerabilidades mudam de significado dependendo de quem os lê. A SPHIOR gera o formato certo para engenharia, liderança e auditoria — das mesmas evidências.

E.2 · Featured Finding #1
Análise Detalhada de Findings Destacados

SQL Injection in /api/search

NEW
criticalCVSS 9.1· Vulnerabilidade externaVerificação cruzada
api.example.com/api/searchSphior Web App Scanner / ZAP active rule (40018)

1. Risk Summary

Na avaliação automatizada Sphior deste mês, observamos uma vulnerabilidade SQL Injection em seu endpoint API exposto externamente /api/search. Este é um exemplo típico de CWE-89 (Improper Neutralization of SQL Element), com riscos de obtenção de conteúdo do DB, vazamento de credenciais e enumeração de schema via usuários autenticados. Observamos um padrão onde o user-supplied input do parâmetro `q` é diretamente concatenado na consulta SQL, e blind SQL injection também é possível. Isso afeta diretamente a qualidade de evidência de suporte de auditoria de SOC 2 CC6.1 / ISO 27001 A.8.2 + GDPR Art. 32, com escopo de impacto observado de aproximadamente 42.000 usuários autenticados (observed scope). Resposta dentro deste mês é recomendada.

2. Risk Snapshot

Impacto ao Negócio
Crítico

Possibilidade de vazamento de informações em escala de 42.000 usuários autenticados (observed scope). Obrigações de notificação GDPR podem ser acionadas, com impacto crítico na qualidade de evidência de suporte de auditoria SOC 2 CC6.1.

Dificuldade de Exploração
Alto

O ataque se estabelece via usuários autenticados; construção de payload após reconhecimento é tecnicamente fácil. Facilmente detectado por ZAP active scan, exigindo apenas conhecimento limitado de scripting.

Urgência Observada
Máximo

Detectado recém este mês. Classe Critical, resposta dentro deste trimestre recomendada. Regras WAF de emergência permitem mitigação provisória; medidas preventivas contra reconhecimento do atacante são necessárias.

3. Observed Evidence (trecho)

Evidência completa + saída bruta do scanner em App-A · #1
HTTP TRACE
GET /api/search?q=test' UNION SELECT NULL,version(),NULL-- HTTP/1.1 Host: api.example.com Authorization: Bearer <REDACTED> Content-Type: application/json Response: 200 OK { "results": [{"id": null, "name": "PostgreSQL 14.5 ← vazamento de versão DB"}] }

4. Recommended Actions

STEP 01EmergencyMigração para queries parametrizadas

Reescrever a consulta SQL de /api/search usando prepared statements, separando o user input do SQL syntax. Resposta dentro deste trimestre recomendada; mitigar em paralelo via regras WAF durante remediação.

Implementation hintExpress + pg: `client.query('SELECT … WHERE q = $1', [userInput])` / Python + psycopg2: `cur.execute('SELECT … WHERE q = %s', (userInput,))`

STEP 02ContainmentImplantação de regra WAF de emergência

Aplicar regras WAF em todos os endpoints para bloquear payloads contendo padrões SQL (UNION / SELECT / -- / ; etc.). Mitigação provisória até conclusão da remediação, operada em combinação com integração SOC.

Implementation hintCloudflare WAF managed ruleset OWASP CRS (sql-injection) temporary enable / AWS WAF: AWSManagedRulesSQLiRuleSet high-priority adoption

STEP 03VerificationVerificação de fix via Sphior re-scan

Após remediação, verifique o fix via Sphior re-scan e confirme respostas 400 para os mesmos padrões de payload. Resultados de confirmação são armazenados como snapshots tamper-evident (SHA-256 anchored) na evidência de suporte de auditoria SOC 2, refletidos no próximo relatório mensal.

Implementation hintBotão Re-scan now do dashboard Sphior (scan conclui em 5 minutos + resultados refletidos)

5. Compliance Standards & References

CWE-89OWASP A03 InjectionNIST SP 800-53 SI-10SOC 2 CC6.1ISO 27001:2022 A.8.2
Related findings#6 (Verbose error em /login) / #11 (CVE-2024-XXXX lodash) — Observações complementares de fronteira de autenticação
Affected scopePossibilidade do mesmo padrão em 8 endpoints incluindo /api/search; confirmação de escopo via Sphior re-scan recomendada
Full Per-Finding CardFull Per-Finding Card (Critical 2 page Extended) ver App-A · #1 — Request/Response completos + exploitation chain + edição completa de código de remediação
Audit-support reference  |  Confidential
E.2 · Featured Finding #1  |  Page 19 of 30
E.2 · Featured Finding #2
Análise Detalhada de Findings Destacados

Missing CSRF Token on /api/transfer

NEW
criticalCVSS 8.8· Authenticated (state-changing)Verificação cruzada
api.example.com/api/transferSphior Web App Scanner / ZAP passive scan (10202)

1. Risk Summary

Esta descoberta é uma validação de token CSRF (Cross-Site Request Forgery) ausente no endpoint /api/transfer. Sphior Web App Scanner observou que o middleware de token CSRF não está aplicado em endpoints state-changing, permitindo requisições cross-site usando sessões de usuário autenticadas. Validação de Origin / Referer também não foi confirmada para endpoints POST / PUT / DELETE, e o atributo SameSite de cookie está configurado como `None`. Isso afeta a qualidade de evidência de suporte de auditoria de SOC 2 CC6.6 / ISO 27001 A.8.8 + A.5.30, e como evento observado em endpoint de transação financeiramente crítico, resposta dentro deste mês é recomendada.

2. Risk Snapshot

Impacto ao Negócio
Crítico

Possibilidade de acionar transações não autorizadas por usuários autenticados em endpoints financeiramente críticos. Impacto crítico na qualidade de evidência de suporte de auditoria SOC 2 CC6.6 + Processing Integrity (PI1.1).

Dificuldade de Exploração
Médio-Alto

Limitado a endpoints state-changing, mas o ataque se estabelece via redirecionamento induzido por phishing ao site do atacante durante navegação por usuários autenticados; tecnicamente direto.

Urgência Observada
Alto

Requer vítimas de usuário autenticadas mas fácil de obter via phishing. Resposta dentro deste trimestre recomendada; mitigação imediata possível via aplicação de middleware.

3. Observed Evidence (trecho)

Evidência completa + saída bruta do scanner em App-A · #2
HTTP TRACE
POST /api/transfer HTTP/1.1 Host: api.example.com Cookie: session_id=abc123 (HttpOnly não definido, SameSite=None) Content-Type: application/json Origin: https://attacker.example {"to":"attacker_account","amount":50000} Response: 200 OK ← Processado sem validação de token CSRF (403 esperado)

4. Recommended Actions

STEP 01EmergencyAplicação de middleware Double-submit de token CSRF

Instalar e aplicar middleware de token CSRF em 12 endpoints state-changing (POST / PUT / DELETE). Rejeitar com resposta 403 em ausência / mismatch de token. Resposta dentro deste trimestre recomendada.

Implementation hintExpress: csurf package / Django: built-in {% csrf_token %} / Rails: protect_from_forgery

STEP 02ContainmentEndurecimento de atributo SameSite de cookie para Strict

Definir SameSite=Strict em cookies de sessão para restringir imediatamente transmissão de cookies via requisições cross-site. Aplicar HttpOnly + Secure conjuntamente como medidas provisórias durante período de remediação de middleware.

Implementation hintSet-Cookie: session=…; Secure; HttpOnly; SameSite=Strict (unificado em todos endpoints)

STEP 03VerificationVerificação de fix via testes de regressão + Sphior re-scan

Integrar testes CSRF automatizados para endpoints state-changing em CI, verificando respostas 403 em ausência / mismatch de token. Confirmar adoção em todos endpoints via Sphior re-scan.

Implementation hintDetecção contínua de testes CSRF ausentes via integração CI do Sphior Code Scanner

5. Compliance Standards & References

CWE-352OWASP A01 Broken Access ControlNIST SP 800-53 IA-2SOC 2 CC6.6 · PI1.1ISO 27001:2022 A.8.8 · A.5.30
Related findings#8 (Cookie no HttpOnly) — De 12 endpoints state-changing, todos exceto esta descoberta confirmados com token CSRF aplicado
Affected scopeObservado em 1 de 12 endpoints state-changing incluindo /api/transfer; os 11 restantes já têm aplicado
Full Per-Finding CardFull Per-Finding Card (Critical 2 page Extended) ver App-A · #2 — amostras de código de aplicação de middleware + edição completa de guia de implementação por framework
Audit-support reference  |  Confidential
E.2 · Featured Finding #2  |  Page 20 of 30
E.2 · Featured Finding #3
Análise Detalhada de Findings Destacados

Reflected XSS in Search Param

NEW
highCVSS 7.5· Vulnerabilidade externaVerificação cruzada
app.example.com/search?q=Sphior Web App Scanner / ZAP active rule (40012)

1. Risk Summary

Esta descoberta é um Reflected Cross-Site Scripting no parâmetro query (q=) do endpoint app.example.com/search. Sphior Web App Scanner confirmou que o payload `<script>alert(1)</script>` é diretamente refletido no HTML de resposta. Observamos um padrão onde HTML escape não é aplicado na seção de exibição de search query e o auto-escape do template engine também está desabilitado. Combinado com observação simultânea de cookies sem HttpOnly, isso carrega a possibilidade de uma cadeia de roubo de session → admin session hijacking. Isso afeta a qualidade de evidência de suporte de auditoria SOC 2 CC6.6 / ISO 27001 A.8.8, e resposta dentro deste trimestre é recomendada.

2. Risk Snapshot

Impacto ao Negócio
Médio-Alto

Roubo de cookie de sessão (combinado com ausência de HttpOnly), cadeia de phishing, possibilidade de hijacking de sessão do painel admin.

Dificuldade de Exploração
Alto

Trivial via URL; ataque se estabelece apenas fazendo uma vítima clicar em URL elaborada. Reconhecimento desnecessário devido à funcionalidade de busca pública; superfície de ataque ampla.

Urgência Observada
Alto

Ampla superfície de ataque em endpoints públicos; resposta rápida após detecção precoce recomendada. Remediação na raiz possível via output encoding + CSP.

3. Observed Evidence (trecho)

Evidência completa + saída bruta do scanner em App-A · #3
HTTP TRACE
GET /search?q=<script>alert(document.cookie)</script> HTTP/1.1 Host: app.example.com Response: 200 OK Content-Type: text/html <html><body>Resultados da busca: <script>alert(document.cookie)</script>… ← payload diretamente refletido no HTML de resposta, executado pelo navegador do usuário (encoding não aplicado)

4. Recommended Actions

STEP 01EmergencyPadronização de output encoding

Exibir a seção de exibição de search query com HTML escape (formato &lt; / &gt; / &amp; / &quot;) e reabilitar auto-escape do template engine em todas views. Resposta dentro deste trimestre recomendada.

Implementation hintReact: JSX auto-escape default / Vue: {{ }} auto-escape / Django: {% autoescape on %}

STEP 02ContainmentEndurecimento do header Content-Security-Policy

Adicionar política CSP proibindo scripts inline (script-src 'self', etc.) a todas respostas, eliminar completamente unsafe-inline. Depreciar header X-XSS-Protection + migrar para CSP.

Implementation hintAplicar em todos endpoints via Cloudflare Workers / configuração Nginx / middleware Express helmet

STEP 03VerificationHttpOnly + SameSite obrigatórios em cookies de sessão

Tornar HttpOnly + SameSite=Strict obrigatórios em cookies de sessão para impedir aquisição de cookies do JS e minimizar impacto de roubo de cookies via XSS. Confirmar adoção completa via Sphior re-scan.

Implementation hintSet-Cookie: session=…; HttpOnly; Secure; SameSite=Strict (unificado em todos endpoints)

5. Compliance Standards & References

CWE-79OWASP A03 InjectionNIST SP 800-53 SI-10SOC 2 CC6.6ISO 27001:2022 A.8.8
Related findings#8 (Cookie no HttpOnly) / #6 (Verbose error em /login) — O impacto aumenta quando XSS se combina com ausência de cookies HttpOnly
Affected scopePossibilidade do mesmo padrão em 3 endpoints de funcionalidade de busca pública incluindo app.example.com/search; confirmação de escopo via Sphior re-scan recomendada
Full Per-Finding CardFull Per-Finding Card (Standard 1 page) ver App-A · #3 — amostras de código de output encoding + edição completa de diretrizes de design de política CSP
Audit-support reference  |  Confidential
E.2 · Featured Finding #3  |  Page 21 of 30
Threat Update Engine

A cada mês, SPHIOR acompanha as técnicas de ataque mais recentes.

As ameaças de segurança evoluem todo mês. A equipe de segurança da SPHIOR incorpora continuamente novas vulnerabilidades, técnicas de ataque e CVEs ao motor de análise — para que seus critérios de diagnóstico nunca fiquem desatualizados.

Cada avaliação mensal é executada no mecanismo mais recente.

Atualizações do mecanismo

Atualizado continuamente

    Engine continuously synced

    Infraestrutura de análise em escala global

    Todo mês, a SPHIOR gerencia todos os diagnósticos, geração de relatórios e entrega em seu nome — sem necessidade de engenheiro dedicado. Os scans são executados a partir de data centers ao redor do mundo.

    Global
    24 Cidades
    24/7
    Governança Sem Intervenção

    Ref · SPHIOR-SOC2

    Monthly Security Evidence

    SOC 2
    • Registro de avaliação externa
    • Priorização de descobertas críticas
    • Acompanhamento do status de remediação
    MensalRevisado continuamente

    Ref · SPHIOR-ISO

    Gap Analysis Report

    ISO 27001
    • Verificação de conformidade de controles
    • Registro de resultados de avaliação de riscos
    • Acompanhamento de ações corretivas
    TrimestralPronto para auditoria

    Ref · SPHIOR-OWASP

    Scan Evidence

    OWASP
    • Análise conforme OWASP Top 10
    • Diagnóstico profundo de API e áreas autenticadas
    • Pontuação CVSS e prioridade de correção
    MensalMotor atualizado
    Governança & Evidências

    Os registros mensais de auditoria de terceiros são a única base de confiança.

    Quando um incidente ocorre, a questão é o que você fez antes dele. Os relatórios mensais da SPHIOR tornam-se evidências defensáveis — em auditorias, riscos de fornecedores e due diligence corporativa.

    • Evidências de suporte para SOC 2 / ISO 27001

      Registos de avaliação externa, âmbito e status de remediação — embalados para referência do auditor.

    • Avaliações de fornecedores e questionários de segurança

      Artefatos mensais concretos para sustentar sua postura de segurança, não adjetivos.

    • Due diligence cibernética em M&A e IPO

      Remove 'segurança web não gerenciada' como alavanca de desconto de valor durante a due diligence.

    Escolha seu plano

    Antecipe interrupções no site, danos à reputação e riscos de vulnerabilidades ocultas — e saiba exatamente o que corrigir primeiro. Escolha o plano que corresponde à escala do seu negócio e ao nível de segurança de que você precisa.

    Economize 20%

    Core

    Para startups e equipes pequenas

    Verificações mensais automáticas de disponibilidade, DNS, TLS e configurações incorretas básicas. Segurança fundamental sem a necessidade de um engenheiro dedicado.

    $199/mês

    Cobrado 1,990 anualmente

    • Monitoramento contínuo de disponibilidade e resposta
    • Varredura básica de vulnerabilidades e configurações incorretas
    • Detecção de endpoints expostos
    • Auditoria de segurança DNS (SPF / DKIM / DMARC / DNSSEC)
    • Verificação de transparência de certificado TLS
    • Core Web Vitals, SEO e auditoria de acessibilidade
    • Relatório mensal de auditoria de segurança básica

    Primeiro mês grátis

    Scale

    Para empresas em crescimento e equipes SaaS

    Tudo incluído no Core, mais mecanismos dedicados para CVEs e vulnerabilidades conhecidas. Conecte AWS / GCP / Azure / Cloudflare com acesso somente leitura para adicionar a auditoria de infraestrutura cloud ao seu relatório mensal. O acompanhamento mensal de mudanças indica exatamente o que corrigir primeiro.

    $599/mês

    Cobrado 5,990 anualmente

    • Tudo incluído no Core
    • Varredura completa de CVE e vulnerabilidades conhecidas
    • Auditoria profunda de cabeçalhos, HTML e privacidade
    • Acompanhamento mensal de mudanças (detecção de novos riscos)
    • Varredura de segurança de código (integração GitHub)
    • Auditoria de infraestrutura cloud (AWS / GCP / Azure / Cloudflare — integração opcional)
    • Push GRC automático (Drata / Vanta / Secureframe)
    • Relatório mensal de vulnerabilidades com prioridades de remediação

    Primeiro mês grátis

    Enterprise

    Para indústrias reguladas e organizações prontas para auditoria

    Tudo incluído no Scale, mais DAST para áreas autenticadas, painéis de administração e APIs. A auditoria de infraestrutura cloud é obrigatória como parte padrão e combinada com análise de governança por IA para gerar evidências de auditoria todos os meses.

    $2,499/mês

    Cobrado 24,990 anualmente

    O preço é calculado de forma personalizada de acordo com o escopo, configuração de autenticação e necessidades de suporte.

    • Tudo incluído no Scale
    • Testes dinâmicos de segurança de aplicações (DAST)
    • Auditoria completa de áreas autenticadas e painéis de administração
    • Testes de segurança de API
    • Auditoria de segurança de infraestrutura cloud (padrão obrigatório, integração completa)
    • Análise de governança por IA + chat IA incluído
    • Relatório de auditoria de governança (resumo executivo + trilha de auditoria)

    Pronto para proteger o futuro do seu negócio?

    Começar Grátis

    ✓ Monitoramento 24/7