01
Divulgação antes de demo.
Todo achado é comunicado primeiro ao fornecedor, sob embargo, com caminho de patch. Comercialização ocorre após correção, nunca antes.
Plataforma ofensiva. Evidência verificável.
Segurança sem evidência
é apenas narrativa.
Plataforma ofensiva com dez módulos em um console único. Toda descoberta, artefato e relatório é assinado criptograficamente e verificável em sigstore. Para equipes que provam postura, não apenas a descrevem.
Dez módulosAssinado em sigsumEspelhado em rekor42+ avisos publicadosOperação contínua
achados · últimas 24h3 críticos11 altos218 limpos
CRÍTedge-01.prodexplorável
Manifest confusion em registro OCI · pull privilegiado
CVE-2026-11812
ALTOapi-gw.prodexplorável
SCIM prefix-truncation
CVE-2025-48219
ALTOlb-north.prodconfirmado
Replay de session-ticket TLS (sob embargo)
—
LIMPOauth-rp.prodlimpo
Sem achados. Última varredura 04:12.
—
02 · Superfície externa
A superfície de ataque sempre excede o inventário.
Descoberta contínua dos ativos expostos externamente: domínios apex, gateways de API, buckets órfãos, VPNs legadas. Quando um subdomínio não autorizado entra no ar, seu PSIRT é notificado em tempo real.
- › Reconhecimento passivo e ativo com ranqueamento de atribuição.
- › Notificação de drift ao PSIRT em menos de 90 segundos.
- › Snapshots assinados. Evidência admissível em análise forense.
warnyx.comapex
api.warnyx.comapi
status.warnyx.comsaas
dev-07.internal.awsdrift
archive-old.s3órfão
vpn-3.eu.warnyx.comlegado
● drift detectado em 2 ativos · ticket automático · PSIRT-2041
03 · Pentest
Engajamento conduzido por operador sênior.
Cada engajamento opera com líder nomeado, escopo assinado e log completo de chain-of-custody. Entregáveis incluem ferramentas, payloads, gravações e relatório legível por máquina. Reprodutibilidade como padrão.
- › Relatório reproduzível, legível por máquina.
- › Atribuição opcional. Crédito da pesquisa permanece no seu time.
- › Retest incluído. Sem upsell.
Assinatura verificada. Contra-assinada em sigsum.
$ warnyx verify WNY-2025-112.pdf
subject: [email protected]
issuer: https://oauth2.sigstore.dev/auth
sha256: fc2d 5b71 9ac0 881e
rekor: log index 28,491,007
→ signature OK · timestamp OK · transparency OK
A plataforma
Dez módulos. Nenhum decorativo.
Plataforma focada. Modelo de dados compartilhado, identidade compartilhada, histórico assinado. O décimo primeiro módulo entra quando um dos dez sair.
01
Scan
Varredura autenticada com exploit confirmado.
02
Surface
Descoberta e monitoramento de drift da superfície externa.
03
Pentest
Engajamento humano com chain-of-custody assinada.
04
Phish
Campanha em nível adversarial com coaching pós-clique.
05
Chain
Diff de SBOM e proveniência verificada em sigstore.
06
Shield
Policy-as-code com telemetria em nível de kernel.
07
Intel
Vazamento de credenciais e monitoramento de leak market.
08
Comply
Evidência automatizada para SOC 2, ISO, PCI e LGPD.
09
Respond
Timeline forense com custódia de artefato assinada.
10
Train
Drills por função com métricas reais. Sem teatro.
Pesquisa assinada
O que publicamos, sustentamos.
Todo aviso é criptograficamente assinado. Cada entrada é registrada no log público de transparência Rekor do Sigstore. Verificação independente, não confiança.
Chave pública sigstore · atual
sha256:
9f2c 4a1b 77e0 c14a
d55e 0aa3 b1f2 88de
e3a1 9fd2 4b6c fc2d
9f2c 4a1b 77e0 c14a
d55e 0aa3 b1f2 88de
e3a1 9fd2 4b6c fc2d
Pesquisa recentetodos assinados
- WNY-2026-041Manifest confusion em registro OCI · pull privilegiadoCVE-2026-11812 · crédito warnyx research · 14/03/2026sigsum e3a1…9fd2
- WNY-2026-037Replay de session-ticket TLS em dois grandes fornecedores de load balancerdivulgação coordenada · embargo 42 dias · PSIRTs dos fornecedoresrekor 7be0…c14a
- WNY-2025-112Prefix-truncation em gateway SCIM amplamente implantadoCVE-2025-48219 · CVSS 9.1 · crédito warnyx researchsigstore fc2d…881e
- WNY-2025-094Cache-deception em edge worker de CDN Tier-1aviso WNY-A-094 · corrigido · crédito warnyx researchsigsum 0a77…4b6c
Regras da casa
Estas regras foram escritas antes do primeiro cliente. Permanecem inalteradas.
02
Ferramentas de operador, não dashboards.
Dez módulos construídos para quem faz triagem às quatro da manhã. Zero gráficos gamificados. Zero urgência fabricada.
03
Nada de matemática oculta.
Scans, relatórios e artefatos assinados. Toda afirmação verificável em sigstore e sigsum, independente do nosso marketing.
04
O crédito da descoberta é do seu time.
Pesquisa atribuída ao seu time mediante pedido. Você controla a narrativa pública. Nossa identidade permanece no rodapé.
Fale com nossa equipe
Já estamos acordados.
Chamada executiva de 40 minutos. NDA antes do segundo contato. Você termina com o primeiro mapa assinado da sua superfície externa. Propriedade sua.