What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

LexisNexis Hackeada: Jueces Federales y Abogados del DOJ Expuestos con Password "Lexis1234"

La Empresa que Protege Datos Legales No Protegía los Suyos

LexisNexis vende inteligencia legal y herramientas de cumplimiento a algunos de los clientes más exigentes del mundo: tribunales federales, el Departamento de Justicia, la SEC, despachos de abogados de primer nivel. Su propuesta de valor es, fundamentalmente, la confiabilidad y la privacidad.

El 24 de febrero de 2026, el grupo FulcrumSec entró a sus sistemas a través de una vulnerabilidad en una aplicación React que llevaba meses sin parchear. Lo que encontró adentro fue tan alarmante como el acceso en sí: 53 credenciales de AWS Secrets Manager en texto plano, 536 tablas de bases de datos Redshift, y datos de 400,000 usuarios — incluyendo jueces federales, fiscales del Departamento de Justicia y personal de la SEC.

Y la contraseña que protegía los datos de los jueces federales era, literalmente, "Lexis1234". FulcrumSec no tardó en publicarlo.

Cómo Entró FulcrumSec: El Bug de React que Nadie Quiso Parchear

Según los propios atacantes y los reportes de BleepingComputer y TechRadar, el vector de entrada fue React2Shell — una vulnerabilidad en el frontend React de una de las aplicaciones de LexisNexis que la empresa tenía identificada pero no había remediado.

No fue un zero-day. No fue un ataque de nación-estado sofisticado. Fue un bug conocido, con parche disponible, que simplemente no se aplicó. El tipo de deuda técnica de seguridad que se posterga semana tras semana hasta que alguien la explota.

Desde ese punto de entrada, la cadena de compromiso fue así:

24 de febrero: FulcrumSec explota React2Shell y obtiene acceso inicial al entorno de AWS de LexisNexis
Pivoteo interno: Dentro de la infraestructura AWS, los atacantes encuentran 53 credenciales almacenadas en texto plano en Secrets Manager — contradiciendo precisamente el propósito de esa herramienta
Extracción masiva: Con esas credenciales, acceden a 536 tablas de Redshift y extraen 3.9 millones de registros, incluyendo perfiles completos de 400,000 usuarios cloud
4 de marzo: LexisNexis confirma públicamente la brecha y declara que el incidente ha sido "contenido"
Shaming público: FulcrumSec publica los datos y se mofa de las contraseñas débiles encontradas — "Lexis1234" para datos de jueces federales

Quiénes Están Expuestos: El Directorio que Nadie Quería Publicar

Lo que hace este breach diferente a una filtración corporativa típica no es el volumen — son los perfiles. LexisNexis no presta servicios a usuarios anónimos. Sus clientes son instituciones que, por definición, manejan información sensible:

Jueces federales: Sus datos de usuario, emails institucionales, y potencialmente historial de búsquedas en la plataforma — qué casos investigaron, qué jurisprudencia consultaron
Fiscales del Departamento de Justicia: Personal con acceso a investigaciones activas, casos federales en curso, fuentes confidenciales
Personal de la SEC: Analistas e investigadores con acceso a información de mercados que no debe estar en manos equivocadas
21,000+ clientes enterprise: Despachos de abogados, firmas de consultoría, corporaciones con litigios activos

Cybernews señaló algo particularmente perturbador: la data filtrada no solo incluye PII básica, sino también cómo LexisNexis gestiona sus acuerdos internos y credenciales de sistemas cloud. Eso le da a cualquier atacante un mapa detallado de la infraestructura restante.

El Problema con las Credenciales en Texto Plano

AWS Secrets Manager existe específicamente para que no tengas credenciales en texto plano. Tiene cifrado automático, rotación programable y control de acceso granular. El hecho de que LexisNexis tuviera 53 credenciales almacenadas de manera que los atacantes pudieran leerlas directamente sugiere que Secrets Manager se estaba usando como almacén de notas, no como bóveda segura.

Este patrón es más común de lo que parece. En las auditorías que hacemos en Sable, encontramos frecuentemente:

Secretos en variables de entorno en texto plano dentro de contenedores
API keys en archivos de configuración versionados en Git
Credenciales de base de datos en comentarios de código
Passwords hardcodeadas en scripts de automatización

El denominador común: alguien tomó el camino corto en algún momento, nadie lo auditó después, y la deuda acumuló intereses.

Lo Que No Se Recupera Fácilmente

LexisNexis dice que el incidente está "contenido". Técnicamente puede ser cierto — bloquearon el acceso de FulcrumSec, rotaron credenciales, parchearon el React. Pero hay daños que no se contienen:

Los datos ya exfiltrados no desaparecen. Los 3.9 millones de registros están en manos de actores que los venden, los usan o los guardan para uso futuro. Las credenciales AWS que estaban en texto plano ya fueron catalogadas. Los perfiles de jueces y fiscales ya son datos de inteligencia para quien los tenga.

Hay también un vector de ataque directo contra los afectados: un atacante con el email institucional de un fiscal del DOJ, más el historial de qué casos investigó en LexisNexis, tiene suficiente contexto para un spear-phishing convincente. No necesita saber que el fiscal existe — LexisNexis ya hizo el trabajo de perfilado.

Qué Debes Hacer si Usas LexisNexis

Cambia tu contraseña ahora. Especialmente si es algo como "Lexis1234" o una variación del nombre del servicio. Usa un gestor de contraseñas y genera una aleatoria de 20+ caracteres.
Activa MFA en tu cuenta. LexisNexis soporta autenticación de dos factores. Si no la tienes activada, hazlo hoy.
Revisa los permisos de acceso de tu cuenta. Si múltiples personas en tu despacho o departamento comparten credenciales, es el momento de separar cuentas individuales.
Monitorea comunicaciones sospechosas. Si recibes emails referenciando casos específicos que trabajaste en LexisNexis, o mensajes de fuentes aparentemente legítimas pidiendo credenciales, trátalos como phishing hasta que pruebes lo contrario.
Notifica a tu departamento de IT. Si usas LexisNexis con credenciales corporativas, tu equipo de seguridad necesita saber que esas credenciales pueden estar comprometidas.

La Lección Que el Sector Legal No Quiere Escuchar

El sector legal tiene una relación complicada con la ciberseguridad. Por un lado, maneja información extraordinariamente sensible. Por otro, históricamente ha sido lento en adoptar controles técnicos básicos — parcialmente por cultura conservadora, parcialmente por falta de regulación específica y técnica.

LexisNexis tenía la vulnerabilidad React identificada y no la parcheó. Tenía AWS Secrets Manager y lo usó mal. Tenía datos de jueces federales protegidos por una contraseña de diccionario. Ninguno de estos fallos requería presupuesto extraordinario ni tecnología avanzada para evitarse.

El breach de LexisNexis es un recordatorio de que la confianza en la marca no es un sustituto de los controles técnicos. Y para las instituciones — tribunales, agencias regulatorias, despachos de élite — que asumieron que un proveedor de su calibre tenía la seguridad resuelta, esto debe ser una señal de alarma clara: la postura de seguridad de tu proveedor no es tu postura de seguridad. Es una variable que necesitas auditar de forma independiente.

En nuestro análisis de riesgos de terceros, documentamos cómo las organizaciones más expuestas suelen ser las que más confían en proveedores sin verificar su seguridad. Si quieres saber qué riesgo real heredas de tus proveedores SaaS, el equipo de Sable puede hacer esa evaluación antes de que alguien más lo haga por ti.