iGreen Energy
Empresa de energia renovável com app mobile com.embarcadero.iGreenConnect v2.60.1 e portal autoconexão. Análise iniciada em 2026-04-30.
Superfícies
recortes de exposição mapeados ao Codex
Web
Sites, painéis, web apps. Camadas 1+2.
API
Backends, REST/GraphQL. Camada 3.
App ativo
Mobile + desktop. APK/IPA decompilado.
Endpoint
Workstations, dispositivos, EDR.
Infra
DNS, cloud, rede. Camadas 8+9.
Humano crítico
OSINT, vazamento, supply chain humano.
App
Mobile + desktop apps. APK/IPA decompilados, manifests, strings, recursos.
igreen-estudo.html
app públicoiGreen Club — estudo de superfície. App com.embarcadero.iGreenConnect v2.60.1, análise estática offline.
Humano
OSINT, vazamentos, supply chain humano. Discord, Pastebin, GitHub leaks.
discord-credentials.html
críticoDump de credenciais e links extraídos de servidores Discord. 18 mensagens com credencial explícita.
iGreen Club
App com.embarcadero.iGreenConnect v2.60.1 · análise offline · sem tocar servidores.
App híbrido Embarcadero Delphi/RAD compilado pra Android. Bundle único, sem code-signing JS. Endpoints HTTP hard-coded em strings do binário.
Cadastro de contas de teste
Conta A (indicador) via cadastro web em green.igreenenergy.com.br/autoconexao/?id=1 sem param cli=. Identidade <test-handle>. Dados sintéticos (CPF gerado, email descartável, telefone com SMS-receiver BR).
Próximos passos
- Decompilar APK com jadx em container
- Extrair endpoints e mapear contra Burp em atk-igreen
- Verificar IDOR em /autoconexao/?id={n}
Conversas
Análise camada humano
contexto · iGreenEncontrei 18 mensagens com credencial explícita em discord-credentials.html. Os 3 mais críticos:
- Email corporativo de ex-funcionário (victor.barbosa@igreenenergy.com.br) ainda referenciado em 2025-04 — verificar se acesso foi revogado.
- Token Trello em URL pública de invite — board igreen-connect, ainda válido se não revogado.
- Email pessoal cruzado com corporativo em mesmo handle Discord — vetor de phishing direcionado.
Fontes: discord-credentials.html:142-158 · igreen-estudo.html:38
Atenção: enumerar usuários ativos pode estar fora do escopo. Verifica escopo.md antes. Se autorizado:
curl -sI https://app.cliente.com/api/auth/check?email=victor.barbosa@igreenenergy.com.br # observar diferença de status entre email válido vs inválido # 200 vs 404 = user enumeration confirmada
Tooling
12 ferramentas no catálogo · todas em containers Docker · zero instalação local.
Scanner de vulnerabilidades baseado em templates YAML.
Probe HTTP rápido em massa, fingerprint, status, tech.
Enumera subdomínios via fontes passivas.
Escaneia repos/filesystems em busca de credenciais.
Fuzzer HTTP rápido, descoberta de paths/params.
Decompilador de APK Android pra fonte Java.
Crawler em nuvem, JS-rendered. API.
Recon via API Cloudflare, descoberta atrás de WAF.
Plugins
Estende dossie com tools, skills, comandos CLI, panels UI.
Web
API
Endpoint
Infra
Evidências
Cloud
Docker
Skills
Comportamentos do agente plugados via marketplace ou local.
Categoriza achados em camadas e severidade.
Gera HTML de evidência DevTools-only.
Pipeline subfinder→httpx→fingerprint→relatório.
Cruza fingerprint com CVE base.