What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Crunchyroll Hackeada: 100GB Robados vía un Empleado de Telus

La Brecha de Telus Llegó Más Lejos de lo que Pensábamos

El 12 de marzo de 2026, un atacante entró a los sistemas de Crunchyroll — el servicio de streaming de anime más grande del mundo, propiedad de Sony, con más de 15 millones de suscriptores activos. En menos de 24 horas antes de que le revocaran el acceso, extrajo aproximadamente 100GB de datos sensibles.

Lo que hace este caso especialmente significativo no es solo la escala. Es el vector de entrada: el atacante no hackeó a Crunchyroll directamente. Entró a través de una cuenta comprometida de un empleado de Telus, el operador canadiense de telecomunicaciones que proporciona servicios de outsourcing a la plataforma.

Si esto te suena familiar es porque ya cubrimos el breach de Telus Digital. Acabamos de ver a dónde llegó.

Qué Fue Robado

Según los reportes de investigadores de seguridad y la información que el amenazante ha compartido públicamente, los datos exfiltrados incluyen:

Infraestructura de ticketing de clientes: Registros de soporte, historial de interacciones, datos de cuentas de usuarios. Millones de tickets de soporte con nombres, emails, detalles de suscripciones y posiblemente métodos de pago.
Entorno de analytics interno: Dashboards, métricas de comportamiento de usuarios, datos de visualización, patrones de uso. La clase de información que Crunchyroll usa para personalizar contenido y que en manos equivocadas revela hábitos detallados de decenas de millones de personas.
Datos de empleados y configuraciones internas: El alcance exacto no está confirmado, pero los 100GB sugieren acceso amplio, no quirúrgico.

Crunchyroll no ha emitido ninguna declaración pública sobre el incidente al momento de publicar este artículo (23 de marzo de 2026). Sony, la empresa matriz, tampoco.

La Cadena que Nadie Vio Venir: Telus → Crunchyroll

El breach de Telus Digital fue reportado públicamente a principios de marzo de 2026. En ese momento, el foco estaba en los datos internos de Telus: información de empleados, código fuente, datos de clientes del operador canadiense.

Lo que no era obvio entonces — y ahora lo es — es que Telus Digital actúa como proveedor de servicios de outsourcing para varias empresas tecnológicas importantes. Sus empleados tienen credenciales y acceso a sistemas de terceros como parte de su trabajo diario. Un empleado de Telus asignado a soporte de Crunchyroll tiene, por diseño, acceso a los sistemas de Crunchyroll.

Cuando un atacante compromete las credenciales de ese empleado — o accede al dispositivo desde el cual trabaja — hereda todos esos accesos. No necesitó vulnerar el perímetro de Crunchyroll. Entró por la puerta lateral de un contratista.

Este es el patrón de ataque a la cadena de suministro digital en su forma más concreta: no atacas al objetivo, atacas a quien tiene acceso al objetivo.

Por Qué 24 Horas Fue Suficiente para 100GB

Crunchyroll detectó la actividad anómala y revocó el acceso aproximadamente 24 horas después de la intrusión inicial. Eso suena como una respuesta razonablemente rápida. Pero 100GB en 24 horas revela algo importante: el atacante llegó con un plan.

Una exfiltración oportunista de 100GB requeriría tiempo de exploración — mapear la red, identificar los datos valiosos, organizar la extracción. A menos que el atacante ya supiera exactamente qué buscar y dónde encontrarlo.

Eso sugiere uno de dos escenarios:

Reconocimiento previo: El atacante había tenido acceso parcial anteriormente (quizás desde el breach de Telus) y llegó al momento de la exfiltración con un mapa de los sistemas.
Inteligencia compartida: Actuó con información de alguien que conocía la infraestructura de Crunchyroll desde adentro — ya sea un empleado de Telus colaborando, o datos del breach previo que revelaron estructuras internas.

Cualquiera de los dos escenarios es alarmante. En el primero, Crunchyroll fue comprometida sin saberlo antes del 12 de marzo. En el segundo, la cadena de compromiso es más profunda de lo que se ve.

El Impacto Real para los 15 Millones de Suscriptores

Crunchyroll tiene una base de usuarios masiva y global — anime es uno de los productos de entretenimiento de mayor crecimiento en la última década. Sus suscriptores son globales, con alta concentración en Estados Unidos, Brasil, México y Europa.

Si los datos de ticketing fueron comprometidos, los afectados probablemente incluyen:

Direcciones de email (prácticamente todos los que alguna vez contactaron soporte)
Nombres y detalles de cuenta
Historial de suscripciones y métodos de pago (parcial, dependiendo de cómo almacena Crunchyroll los últimos dígitos)
Historial de contenido visto (sensible en jurisdicciones con leyes de privacidad estrictas)
Direcciones IP y datos de dispositivos

Para la mayoría de los usuarios, el riesgo inmediato es phishing personalizado: un actor malicioso con tu email y tu historial de soporte puede construir correos de suplantación extremadamente convincentes. "Tu suscripción de Crunchyroll tiene un problema de pago" seguido de un link de phishing, personalizado con el plan exacto que tienes, es mucho más efectivo que un email genérico.

Qué Deberías Hacer si Tienes una Cuenta de Crunchyroll

Cambia tu contraseña ahora. Aunque el atacante probablemente no exfiltró contraseñas hasheadas directamente (el ticketing system no suele almacenarlas), la precaución es mínima y el costo es cero.
Activa la autenticación de dos factores si aún no la tienes. Crunchyroll soporta 2FA — úsala.
Ojo con emails de Crunchyroll en los próximos meses. Sé especialmente escéptico con cualquier comunicación que te pida actualizar método de pago, verificar tu cuenta, o hacer clic en un link. Verifica siempre yendo directamente a crunchyroll.com, no desde el link del email.
Si usas la misma contraseña en otros sitios (y sabes que lo haces), cámbiala en todos. Esta es siempre la lección y siempre se ignora hasta que es tarde.

El Problema Estructural: Terceros con Acceso Privilegiado

Este incidente se une a una lista creciente de brechas que no empezaron en la empresa que terminó siendo la víctima principal. Target (2013, vía un contratista de HVAC), SolarWinds (2020, vía software de actualización), Uber (2022, vía contratista de Lapsus$), y ahora Crunchyroll vía Telus.

El patrón es siempre el mismo:

La empresa objetivo tiene controles de seguridad razonables
Un tercero con acceso legítimo tiene controles más débiles
El atacante compromete al tercero para heredar el acceso
La empresa objetivo es la que sale en los titulares

La pregunta que los equipos de seguridad necesitan responder — y que rara vez se responde sistemáticamente — es: ¿quiénes son todos los terceros que tienen acceso a mis sistemas, qué nivel de acceso tienen, y cuál es su postura de seguridad?

La mayoría de las organizaciones tienen respuesta parcial a la primera pregunta y ninguna respuesta a las dos siguientes. Crunchyroll probablemente sabía que Telus tenía acceso a su ticketing system. Es menos probable que tuvieran visibilidad de la postura de seguridad real de las cuentas de empleados de Telus que accedían a esos sistemas.

El remedio no es dejar de usar terceros — eso no es viable en la economía tecnológica moderna. El remedio es tratar los accesos de terceros con el mismo rigor que los accesos internos: acceso mínimo necesario (least privilege), autenticación fuerte obligatoria, monitoreo de comportamiento, y revocación automática cuando la actividad no coincide con el patrón esperado.

Si Crunchyroll hubiera tenido anomaly detection en ese acceso específico de Telus, 24 horas de exfiltración podrían haber sido 2 horas. O 20 minutos. La diferencia entre 100GB robados y 10GB robados vive en la velocidad de detección.

¿Tu empresa tiene visibilidad real sobre los accesos de terceros a tus sistemas críticos? En Sable podemos hacer ese mapa — antes de que alguien más lo use en tu contra. Y si el caso Telus-Crunchyroll te genera preguntas sobre cómo estos ataques en cadena funcionan técnicamente, lee nuestra cobertura del breach original de Telus Digital.