Meu app foi feito com IA (Lovable, v0, Bolt, Cursor). O Vigil serve pra mim?

Serve, e muito. Estudos de 2026 mostram que 98% dos apps criados com IA têm pelo menos uma falha de segurança. A IA monta rápido, mas esquece tranca: chave secreta no código que todo visitante baixa, banco de dados sem trava de acesso, código-fonte original exposto. O Vigil procura exatamente esses erros, inclusive dentro dos arquivos que seu site entrega pro navegador.

Meu site é antigo, feito muito antes dessa onda de IA. Vale a pena examinar?

Vale. Os exames são os mesmos pra app de ontem e sistema de dez anos atrás: certificado, headers de proteção, arquivos sensíveis expostos, e-mail falsificável. Site antigo costuma acumular justamente esse tipo de pendência, porque ninguém olha há anos.

O exame grátis é. Sem cadastro, sem cartão: você cola a URL e recebe na hora a nota e o ponto mais grave. O laudo completo, o relatório em PDF e o monitoramento contínuo pedem conta e plano. O exame é passivo: a gente só olha o que o seu site já mostra pra qualquer visitante.

Vocês mexem no meu site?

Não. O Vigil só lê, nunca escreve. É um exame de fora, igual um raio-X: olha sem tocar. Nada no seu site é alterado.

Não. A gente faz reconhecimento passivo e não-destrutivo, do mesmo jeito que qualquer ferramenta séria de auditoria. Nada de invadir nem forçar.

Preciso de dev pra entender?

Não. O laudo vem em português de gente: o que é o problema, quanto ele te arrisca (em R$ e LGPD) e, se você quiser, o detalhe técnico escondido a um clique.

O exame e a nota são grátis. Pra ver o laudo completo, o plano de correção e o relatório em PDF de um site, o Exame Profundo é R$497, pagamento único por site. Pra deixar o Vigil vigiando 24/7 com alerta quando algo muda, o Vigil Pro é R$97 por mês (ou R$990 por ano) e cobre até 5 sites. O avulso vira crédito no seu primeiro Pro.

O que é o selo "Verificado por Vigil"?

É um selo que você libera provando ser dono do site (meta-tag ou DNS) e pode embutir pra mostrar que leva segurança a sério. Quem não prova a posse fica com "Escaneado por Vigil".

O subdomínio esquecido que vira porta dos fundos para golpistas

18 de junho de 20265 min de leituraEquipe Vigil

Imagine que você fez uma campanha de fim de ano e criou um endereço bonito pra ela: promo.suaempresa.com.br. Pra colocar a página no ar, você usou um serviço de terceiros, daqueles de hospedagem ou de landing page. A campanha acabou, você cancelou o serviço e seguiu a vida. O endereço continua lá, na sua frente, mas a casa pra onde ele aponta foi demolida.

Esse pedacinho esquecido da sua empresa pode virar uma porta dos fundos aberta. Um estranho percebe que a casa está vazia, se muda pra ela e passa a receber as visitas que chegavam pelo seu endereço. Quem acessa vê a sua marca no topo do navegador, confia, e não tem ideia de que está falando com outra pessoa. Esse problema tem nome técnico: subdomain takeover, ou sequestro de subdomínio.

Primeiro, o que é um subdomínio

O seu domínio principal é o nome da sua empresa na internet, por exemplo suaempresa.com.br. O subdomínio é uma divisão dele, um cômodo dentro da casa. promo.suaempresa.com.br, loja.suaempresa.com.br e ajuda.suaempresa.com.br são todos subdomínios. Cada um pode apontar pra um lugar diferente: um pra sua loja virtual, outro pra uma ferramenta de atendimento, outro pra uma campanha.

Esse 'apontar pra um lugar' é feito por um registro chamado CNAME. Pense no CNAME como uma plaquinha de encaminhamento dos Correios: 'quem procurar promo.suaempresa.com.br, mande pra este endereço do serviço de hospedagem'. Enquanto o serviço de destino existe, tudo funciona. A plaquinha leva a visita ao lugar certo.

O CNAME pendurado, em linguagem de gente

A plaquinha de encaminhamento continua de pé, mas o endereço pra onde ela aponta foi abandonado.

Quando você cancela o serviço de destino sem remover a plaquinha, fica o que a OWASP chama de dangling CNAME, ou CNAME pendurado. A plaquinha continua mandando as visitas pra um terreno que agora está vago. O detalhe perigoso é que, em muitos serviços de nuvem, qualquer pessoa pode chegar e reivindicar aquele terreno vago, recriando exatamente o nome que você usava. A partir daí, a sua plaquinha passa a entregar as visitas na mão do novo morador.

Esse risco não é teoria. Existe um projeto público mantido pela comunidade de segurança, o can-i-take-over-xyz, que cataloga quais serviços de internet permitem esse tipo de sequestro e quais já se protegeram. É uma lista viva, justamente porque o problema é comum e continua aparecendo.

O estrago: o golpista serve conteúdo no SEU domínio

A gravidade vem de um ponto só: o conteúdo é servido a partir de um endereço seu. Pro visitante, pro cliente e até pra alguns sistemas, aquilo é a sua empresa. O golpista não precisa imitar seu site numa URL parecida e torcer pra ninguém reparar. Ele está dentro do seu próprio nome.

Com esse endereço na mão, dá pra fazer estrago de várias formas:

Montar uma página de login falsa pra roubar senhas de clientes, com seu endereço de verdade na barra do navegador
Publicar uma promoção ou cobrança falsa que parece 100% oficial
Abusar da confiança que sua marca construiu pra aplicar golpes de phishing
Em alguns casos, capturar cookies ou dados que circulam entre seus sistemas e aquele subdomínio

O cliente que cai no golpe vai associar o prejuízo à sua empresa, não ao serviço que você cancelou meses atrás. A confiança, que leva anos pra construir, é o que se perde primeiro.

A boa notícia: dá pra prevenir

Esse é um daqueles riscos de higiene, não de azar. Ele acontece por descuido na hora de aposentar um serviço, e some com um cuidado simples. A regra de ouro, alinhada com a orientação da OWASP, é uma só: ao desativar qualquer serviço de terceiro, remova também o registro DNS que apontava pra ele. Tire a plaquinha junto com a mudança.

Na prática, o que ajuda no dia a dia:

Manter uma lista dos seus subdomínios e pra onde cada um aponta, pra ninguém ficar órfão
Sempre que cancelar uma hospedagem, landing page ou ferramenta, apagar o CNAME correspondente no mesmo dia
Revisar de tempos em tempos os endereços antigos, principalmente os de campanhas que já acabaram
Tratar a ordem na hora de desligar: primeiro o DNS, depois o serviço, pra não deixar a janela aberta

Um raio-X dos seus subdomínios

O problema do subdomínio esquecido é que ele é, por definição, esquecido. Ninguém olha pra um endereço que não usa mais. É exatamente aí que vale passar um raio-X de segurança no seu domínio de vez em quando, mapeando quais subdomínios existem e quais estão apontando pro vazio. O Vigil agora detecta esse risco, sinaliza os CNAMEs pendurados e mostra, em português claro, o que precisa ser removido antes que um estranho chegue primeiro.

Tire o raio-X do seu site de graça

Cole o endereço e receba a nota e a lista do que arrumar em menos de um minuto. Anônimo, sem cadastro.

Examinar meu site