Preparando a próxima tela com calma e sem perder o contexto.
Preparando a próxima tela com calma e sem perder o contexto.
Founder
Eu reviso SaaS em produção com o olhar de quem procura impacto real: onde login, cobrança, dados e permissões podem virar perda de receita, exposição ou venda B2B travada. Sem jargão: evidência, prioridade e correção que o founder entende.
// Quem assina
Sou Gabriel L. Ferreira, founder e lead pentester da RET Tecnologia. Passo os dias olhando SaaS em produção do jeito que um atacante olharia: procurando onde login, cobrança, permissão e dados podem virar prejuízo, exposição ou uma venda B2B travada. A RET existe porque criar produto com IA ficou rápido demais — e revisar o que foi criado ficou para trás. Não venho do marketing de segurança; venho de quebrar coisas com autorização e explicar, em português claro, o que aquilo custa. Cada relatório leva o meu nome porque é assim que confio no meu próprio trabalho.
Não entrego uma lista de alertas para assustar. Entrego o que quebra, por que importa em dinheiro ou dado, e qual correção vem primeiro. Se não dá para reproduzir, não vira achado.
Nada é testado sem escopo assinado, janela combinada e limite claro do que não será tocado. Segurança séria começa com regra de engajamento, não com surpresa.
O relatório serve para decisão. Escrevo para o dono do negócio e para o dev ao mesmo tempo: sem jargão inútil, com o impacto explicado em termos de receita, acesso e confiança.
Quando encontro algo em pesquisa, reporto com evidência mínima e acompanho a correção. Prova pública só com autorização de quem foi corrigido.
Raiz
Comecei em segurança ofensiva e pesquisa, reportando falhas reais com evidência mínima e responsabilidade. Foi aí que ficou claro que o problema raramente é exploit exótico — é controle de acesso frouxo, fronteira mal desenhada e fluxo de pagamento que confia no cliente.
Foco
Vibe coding fez o MVP nascer em dias. Só que login, isolamento por cliente, checkout e permissão continuam sendo a parte que ninguém revisa antes de vender. A RET nasceu para fechar exatamente esse vão, com olhar humano onde a ferramenta automática não chega.
Método
Organizei minha forma de endurecer produto no que chamo internamente de Cascavel: um método de hardening forense que trata a aplicação como superfície a ser blindada por camadas — contenção, isolamento e verificação — em vez de checklist genérico. É a espinha de cada revisão e de como o próprio site da RET é construído.
Escada
Em vez de vender pentest para todo mundo, montei uma escada: Promptbook para a primeira revisão paga, AuditMySaaS para acompanhar o que muda, Risk Review para a leitura humana que decide, e o Pentest Manual para provar o que quebra. Cada degrau sobe só quando o risco pede.
Prova
No Find My SaaS reportei três falhas reais — upload S3, métrica inflável com 564 clicks simulados e um login social inválido em rota sensível — com correção pública e reconhecimento de Mano Deyvin. É a prova externa de que o método funciona fora do slide.
O nome não é enfeite. Cascavel é a ideia de defesa que avisa antes de morder: camadas que contêm, isolam e verificam, de forma que uma falha em um ponto não vire acesso total. Aplico isso tanto na revisão de um SaaS de cliente quanto na hardening deste próprio site.
Na prática, significa desconfiar de contexto externo, exigir verificação de dono no servidor, isolar dado por cliente e nunca deixar "funciona na demo" ser confundido com "aguenta cliente real".
Não prometo segurança total — ninguém sério promete. Prometo mostrar o que quebra, com evidência, prioridade e uma correção que o seu time consegue aplicar. Se o seu SaaS já tem gente pagando, dado de cliente ou uma proposta B2B na mesa, esse é o momento de sair do "acho que está seguro".
Se quiser ver o trabalho por dentro, o código e as pesquisas públicas ficam no GitHub. Para conversar sobre escopo, o caminho é a página de Pentest.
Se você chegou até aqui, provavelmente já sente que o produto cresceu mais rápido do que a revisão dele. É exatamente esse desconforto que eu ajudo a transformar em prioridade clara, com evidência no lugar de palpite.
Onde me encontrar

Eu sou Gabriel L. Ferreira. Eu reviso SaaS como pentester sênior e como alguém que entende produto em produção: procuro o ponto em que login, cobrança, dados ou acesso podem virar perda de dinheiro, exposição ou bloqueio em venda B2B.
Gabriel L. Ferreira
Fundador e pentester líder