🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Vulnerability Intelligence

Liberando todo o potencial dos programas de recompensa por bugs com o BeVigil: simplificando o fluxo de trabalho dos pesquisadores de segurança

O BeVigil pode simplificar e aprimorar significativamente o fluxo de trabalho dos pesquisadores de recompensas por bugs. Com a abordagem inovadora da BeVigil, os pesquisadores podem aproveitar um fluxo de trabalho simples que exige menos etapas para identificar vulnerabilidades e ganhar recompensas.
15
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

O objetivo deste blog é fornecer o seguinte:

  • Uma exploração aprofundada de como Seja Vigil, o primeiro mecanismo de busca de segurança do mundo para aplicativos móveis, pode simplificar e aprimorar significativamente o fluxo de trabalho de Bug Bounty Hunters, pesquisadores de segurança de aplicativos Android e entusiastas do OSINT.
  • Com o BeVigil, os pesquisadores de segurança podem aproveitar a extensa indexação de milhões de aplicativos Android, permitindo que eles identifiquem de forma rápida e eficiente vulnerabilidades de segurança, segredos, APIs expostas e muito mais, obtendo visibilidade sobre uma superfície de ataque enorme, mas amplamente inexplorada.
  • A API e a CLI do BeVigil OSINT, ricas em funcionalidades, simplificam o processo de identificação de vulnerabilidades de segurança e fornecem uma plataforma confiável, eficiente e abrangente para os pesquisadores de segurança automatizarem, enriquecerem e otimizarem seus fluxos de trabalho. Isso pode ajudar os pesquisadores a tomar decisões mais informadas do que executar cegamente ferramentas automatizadas para encontrar vulnerabilidades.

Fluxo de trabalho geral dos pesquisadores do Bug Bounty

Para entender melhor o processo de um pesquisador de recompensas por bugs, vamos explorar o fluxo de trabalho geral.

Fluxo de trabalho geral para um pesquisador de recompensas por bugs

Embora esse processo possa ser adequado para alguns pesquisadores, ele pode ser ineficiente e demorado. Essa abordagem requer treinamento extensivo para identificar até mesmo vulnerabilidades básicas e, muitas vezes, não consegue descobrir bugs de alto impacto que poderiam gerar recompensas significativas. Dessa forma, é necessário um fluxo de trabalho mais simplificado e eficiente para maximizar as recompensas potenciais dos programas de recompensa por bugs.

Abordagem simplificada da BeVigil para pesquisadores do Bug Bounty

Agora, vamos examinar mais de perto como o BeVigil pode simplificar e aprimorar significativamente o fluxo de trabalho dos pesquisadores de recompensas por bugs. Com a abordagem inovadora da BeVigil, os pesquisadores podem aproveitar um fluxo de trabalho simples que exige menos etapas para identificar vulnerabilidades e ganhar recompensas.

Fluxo de trabalho simplificado usando BeVigil

Alguns dos recursos que o BeVigil oferece e os benefícios que ele pode oferecer aos pesquisadores:

  • Com o BeVigil, os pesquisadores podem pesquisar facilmente milhões de aplicativos indexados ou escanear aplicativos instantaneamente usando um link da Play Store. Os pesquisadores podem até mesmo fazer o upload de um aplicativo manualmente para análise.
  • O BeVigil fornece verificações instantâneas de pontuação de aplicativos, permitindo que os pesquisadores avaliem rapidamente a segurança de um aplicativo e identifiquem possíveis vulnerabilidades.
  • Os pesquisadores podem aproveitar os recursos avançados do BeVigil para identificar vulnerabilidades de segurança e mais de 250 segredos de API expostos em aplicativos.
  • O BeVigil também oferece a capacidade de gerar relatórios de segurança detalhados com informações abrangentes sobre a postura de segurança de um aplicativo.

Guia passo a passo para detectar bugs com Seja Vigil

Etapa 1. Vamos trabalhar com uma das principais plataformas de recompensas por bugs, conhecida como HackerOne, mas o processo geral permaneceria o mesmo. Existem várias empresas com aplicativos Android listadas no HackerOne. Como você pode ver quando selecionamos as opções Android: Playstore ou Android: .apk, vários aplicativos de diferentes empresas aparecem na lista de pesquisa. Nós escolhemos”Urbano” como exemplo.

Aplicativo para Android da empresa urbana listado no HackerOne

Etapa 2. Em seguida, vá para Seja Vigil e pesquise os aplicativos que você deseja pesquisar. Por exemplo, procuramos por “Urban Company” porque ela tem um programa ativo de recompensas por bugs que vimos acima.

Etapa 3. Nesta página, você pode encontrar a pontuação geral de segurança que destacaria a vulnerabilidade do aplicativo, uma lista de chaves secretas expostas e algumas outras seções diferentes para diferentes tipos de problemas à esquerda da página. Como pesquisador de segurança, talvez você esteja mais interessado em examinar as seções “Vulnerabilidades”, “Cadeias de caracteres” e “Ativos”, pois elas geralmente contêm informações interessantes.

  • O Vulnerabilidades A seção BeVigil fornece uma visão geral abrangente dos diferentes tipos de vulnerabilidades detectadas. Como pesquisador, você pode facilmente explorar cada vulnerabilidade em profundidade e determinar seus possíveis impactos.

  • O Cordas A seção BeVigil fornece uma lista de todos os segredos interessantes, chaves de API como (segredos da AWS, chaves do Shopify, chaves do GitHub, chaves do Facebook etc.) e tokens como JWT, etc. Depois de coletar esses segredos, você pode encontrar impactos na segurança.

  • O Ativos a seção mostra endereços IP expostos, caminhos de arquivo, nomes de host e outros detalhes interessantes do endpoint.
Seções diferentes mostrando diferentes tipos de problemas no aplicativo

Etapa 4. Depois de descobrir um problema, devemos tentar agrupá-los para encontrar os mais impactantes e denunciá-los às organizações certas. Por exemplo, se encontrarmos um URL do Firebase, devemos nos aprofundar para determinar se ele está acessível para leitura ou escrita. Além disso, devemos examinar se ele está revelando dados confidenciais, como detalhes do cliente ou de pagamento. Ao adotar essa abordagem abrangente, podemos criar um relatório mais impactante e, potencialmente, ganhar uma recompensa maior por nossos esforços.

Investigando o URL do Firebase em busca de informações confidenciais

Diferentes abordagens para pesquisadores do Bug Bounty

1. Usando o URL do Firebase para descobrir PII: o Firebase é um conjunto de serviços de hospedagem para qualquer tipo de aplicativo. Ele oferece NoSQL e hospedagem em tempo real de bancos de dados. Ao anexar /.json ao URL do Firebase, você pode determinar facilmente se o banco de dados do Firebase está vulnerável a operações de leitura/gravação ou a ambas.

De acordo com nossa pesquisa recente, a BeVigil identificou mais de 20.000 URLs do Firebase com acesso de leitura ao banco de dados do Firebase, a maioria dos quais continha informações confidenciais.

URL exposto do Firebase identificado por BeVigil

Informações confidenciais vazadas

2. Vazamento da chave da API da Shopify: O Shopify, uma plataforma de comércio eletrônico para lojas on-line, fornece vários tipos de tokens que podem ser usados para desenvolvimento. Em nosso último relatório, 21 aplicativos foram identificados como tendo 22 chaves/tokens da API Shopify codificados, expondo as informações de identificação pessoal (PII) de 4 milhões de usuários/clientes a possíveis ameaças.

Neste exemplo, a BeVigil identificou uma conhecida marca indiana de comércio eletrônico expondo as chaves do Shopify com permissões confidenciais.

Escopos de acesso recuperados com base no token de acesso

A loja de comércio eletrônico revelou informações de identificação pessoal (PII), como nome, e-mail, domínio, endereço e telefone de mais de 1 milhão de clientes.

Detalhes confidenciais do administrador da Shopify

Leia mais sobre esse problema neste relatório: https://bevigil.com/blog/bevigil-exposes-mobile-app-danger-over-4-million-users-globally-at-risk-from-hardcoded-shopify-tokens/ 

3. URLs do Amazon S3: O Amazon S3 é um serviço de armazenamento de objetos que armazena dados como objetos dentro de buckets. No entanto, durante uma pesquisa recente, um de nossos pesquisadores descobriu que um URL específico do Amazon S3 estava codificado no código-fonte de um aplicativo móvel. Como resultado, esse URL ficou facilmente legível, levando à exposição de dados confidenciais do cliente.

URL da AWS exposta dentro do aplicativo



Lista de arquivos e diretórios de um bucket do Amazon S3 configurado incorretamente

Leia mais sobre esse problema neste relatório: Aplicativos móveis que expõem chaves da AWS afetam os dados de mais de 100 milhões de usuários 

4. URL do aplicativo Heroku: Usando o BeVigil, nossos pesquisadores descobriram URLs de aplicativos Heroku no código-fonte de aplicativos móveis que poderiam levar à aquisição de subdomínios.

 

Parece que o domínio não está mais operacional, então agora está disponível para qualquer pessoa assumir o controle. Na verdade, nossos pesquisadores conseguiram assumir com sucesso o subdomínio em questão.

5. Token de acesso pessoal do GitHub: Um Token de Acesso Pessoal do GitHub (PAT) é um tipo de token de autenticação que permite aos usuários acessar sua conta do GitHub e realizar várias ações programaticamente por meio da API do GitHub. Os desenvolvedores de software codificam os Tokens de Acesso Pessoal do GitHub que poderiam potencialmente expor repositórios privados no GitHub.

Nossos pesquisadores conseguiram verificar os escopos do token, o que nos levou a acreditar que qualquer pessoa com acesso ao PAT pode acessar qualquer repositório privado dentro da organização.

Acesso a repositórios privados usando PAT

As permissões indicam diferentes tipos de acesso fornecidos ao PAT

Leia mais sobre esse problema neste relatório:: Tokens de acesso pessoal codificados no GitHub vazam 159 repositórios privados

6. Chaves de API do Twitter: Usando o BeVigil, nossos pesquisadores descobriram que o código-fonte de alguns aplicativos móveis continha chaves de API do Twitter codificadas. Isso potencialmente levou à aquisição de uma conta do Twitter, pois essas chaves de API podem ser exploradas para obter acesso não autorizado à conta do Twitter de um usuário.

A exposição às chaves da API do Twitter levou à aquisição da conta do Twitter

Conta comprometida usada para fazer tweets, retuítes e seguir outras contas

Leia mais sobre esse problema neste relatório: https://cloudsek.com/whitepapers-reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army

7. Chave de acesso e chave secreta da AWS: A chave de acesso e a chave secreta da AWS são componentes essenciais da infraestrutura de uma organização. Qualquer pessoa que tenha acesso a essas chaves pode potencialmente obter acesso a toda a infraestrutura da empresa.

Durante nossa investigação sobre o BeVigil, descobrimos que essas chaves da AWS tinham acesso a vários serviços da AWS, incluindo ACM (Certificate Manager), ElasticBeanstalk, Kinesis, OpsWorks e S3. Nosso foco estava no S3 e, após uma análise mais aprofundada, descobrimos que as credenciais da AWS tinham acesso de leitura/gravação a um total de 88 buckets do S3.

As implicações dessa exposição foram significativas, pois esses 88 compartimentos continham incríveis 10.073.444 arquivos, totalizando 5,5 terabytes de dados expostos.

Exposição de bucket do Amazon S3 vazando informações confidenciais


Esses buckets do S3 foram implantados inicialmente para hospedar vários arquivos e dados gerados a partir de projetos. Após uma investigação mais aprofundada, nossa equipe descobriu que esses buckets continham uma grande variedade de dados confidenciais, incluindo código-fonte do aplicativo, arquivos de backup, relatórios de usuários, artefatos de teste, uploads de usuários, registros, backups do WordPress, certificados de usuário, arquivos de configuração, arquivos de credenciais e muito mais.

A exposição desses dados pode ter sérias implicações, pois pode fornecer aos atacantes acesso a credenciais adicionais, como nomes de host, senhas e tokens do banco de dados, permitindo que eles potencialmente se ramifiquem na infraestrutura em execução e realizem novos ataques.

Os pesquisadores ainda conseguiram acessar o banco de dados usando a senha de texto simples mencionada no arquivo de configuração do banco de dados.


Dados confidenciais descobertos no banco de dados

Leia mais sobre esse problema neste relatório: Aplicativos móveis que expõem chaves da AWS afetam os dados de mais de 100 milhões de usuários 

8. Webhook do Slack: Os caçadores de recompensas por bugs podem procurar webhooks do Slack, que podem fazer com que qualquer agente de ameaças envie mensagens maliciosas aos ganchos descobertos, crie um aplicativo do Slack e permita a instalação pública do aplicativo.

Comandos que mostram como os agentes de ameaças podem explorá-lo para enviar mensagens do Sack usando o webhook

9. Descobrindo a chave de API Algolia codificada: A API da Algolia permite que os desenvolvedores implementem pesquisas, descobertas e recomendações em sites, aplicativos móveis e de voz. O uso indevido das chaves pode resultar na leitura e modificação das informações pessoais do usuário, no acesso a endereços IP e outros detalhes confidenciais. Ele é usado por mais de 11.000 empresas. Os pesquisadores do CloudSEK descobriram 32 dos 1550 aplicativos que tinham um total de 57 chaves de API exclusivas.

A chave somente de pesquisa pode ser usada para consultas de pesquisa e envio de dados para a API Insights

Resposta válida do servidor

Leia mais sobre esse problema neste relatório: Chaves de API Algolia codificadas podem ser exploradas por agentes de ameaças para roubar dados de milhões de usuários

10. Serviço de e-mail codificado: Em outro relatório recente, nossos pesquisadores descobriram que 50% dos aplicativos analisados (600) vazaram chaves de API de três provedores populares de serviços de e-mail transacionais e de marketing - Mailgun, MailChimp e Sendgrid. Eles poderiam ler, enviar e excluir e-mails, obter endereços IP, etc.

Captura de tela do e-mail recebido da chave da API MailGun

Leia mais sobre esse problema neste relatório: https://cloudsek.com/whitepapers-reports/hardcoded-api-keys-of-email-marketing-services-puts-54m-mobile-app-users-at-risk

Guia passo a passo da API BeVigil OSINT

Conforme mencionado na introdução, BeVigil oferece uma abrangente Ferramenta BeVigil OSINT para CLI, equipado com recursos avançados que simplificam o processo de identificação de vulnerabilidades de segurança. Essa plataforma rica em funcionalidades permite que os usuários automatizem e otimizem seus fluxos de trabalho, tornando a identificação de vulnerabilidades mais eficiente e eficaz. Uma conta gratuita oferece 50 créditos para você experimentar o produto sem gastar um centavo.

Lista de comandos que você pode executar usando a CLI.

Command

Description

hosts

Request hosts present in an android package

packages

Request packages associated with a domain/subdomain

params

Request params associated with an android package

s3

Request S3 buckets associated with a package or a keyword

subdomains  

Request subdomains associated with a domain

urls        

Request URLs associated with a domain

wordlist    

Request a wordlist for a package

Para começar, tudo o que você precisa fazer é instalar a biblioteca Python da nossa Repositório do GitHub e ative-o usando a chave de API encontrada em sua conta BeVigil. É um processo rápido e fácil que permitirá que você comece a utilizar toda a gama de recursos oferecidos pelo BeVigil.

Guia de instalação fácil para BeVigil CLI

 

Caçambas S3

Para começar, vamos consultar os buckets do S3 usando o nome do pacote da empresa Ubran. O nome do pacote pode ser obtido na BeVigil ou na Play Store.

Lista de buckets S3 associados ao pacote Android

Agora, como pesquisador, você só precisa encontrar buckets do S3 mal configurados e reunir o que está disponível nos buckets. Você pode procurar informações confidenciais, como PII do cliente ou do cliente ou detalhes de pagamento.

Lista de anfitriões

Para solicitar todos os nomes de host extraídos de um pacote Android, você pode usar o seguinte comando:

Nomes de host extraídos do pacote Android

Depois de ter uma lista de hosts, você pode começar a explorar domínios internos ou APIs para identificar possíveis vulnerabilidades. Ao unir várias vulnerabilidades, você pode maximizar o impacto de suas descobertas e proteger melhor seu sistema.

API BeVigil OSINT

Agora você pode integrar a API OSINT da BeVigil em seu aplicativo seguindo nosso guia fácil de configurar. Você pode explorar ainda mais a API BeVigil em https://osint.bevigil.com/.

API BeVigil OSINT

Resumo

Nesta postagem do blog, exploramos como o BeVigil pode aprimorar significativamente as capacidades dos pesquisadores de segurança, permitindo que eles identifiquem possíveis vulnerabilidades e melhorem a segurança geral dos aplicativos móveis. Com a vasta gama de recursos disponíveis no BeVigil, os pesquisadores têm oportunidades ilimitadas de aprimorar suas pesquisas e descobrir problemas críticos de segurança.

Referências

Bablu Kumar
Bablu is a technology writer and an analyst with a strong focus on all things cybersecurity
Arshit Jain
Collecting data for world's first security search engine bevigil.com | Web Scraping | Data Mining |

Blogs relacionados

Este é um texto dentro de um bloco div.
Vulnerability Intelligence
July 4, 2025
3
min
Vulnerabilidade do Cisco Unified Communications Manager CVSS 10: mais de mil ativos expostos à Internet
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 30, 2025
4
min
Mais de 50.000 usuários do Azure AD expostos por meio de API insegura: BeVigil descobre uma falha crítica
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 23, 2025
5
min
Exposto e explorável: como uma falha de LFI deixou os arquivos do servidor de um gigante de viagens abertos para hackers
Leia mais