28 de abril de 2026 · 5 min · Carol
Subdomain takeover: o subdomínio esquecido que vira porta de entrada
Aquele promo.suaempresa.com.br que você desligou em 2022 ainda aponta pra Heroku. Hoje, qualquer pessoa pode pegar de volta — e mandar phishing com o seu domínio.
promo.suaempresa.com.br foi criado em 2022 pra uma campanha de Black Friday. Subiu na Heroku, rodou um mês, ninguém olhou mais. Em 2023 o time desligou o app na Heroku — mas ninguém apagou o CNAME no DNS.
Hoje, o registro do DNS ainda diz "promo.suaempresa.com.br aponta pra suaempresa-promo.herokuapp.com". Só que esse nome na Heroku está livre. Qualquer pessoa pode criar um app com aquele exato nome e, em segundos, promo.suaempresa.com.br responde com o conteúdo dela.
Isso é subdomain takeover. É barato de fazer e devastador de sofrer.
Por que isso funciona
DNS aponta pra serviços em nuvem por nome, não por IP. Quando você cria um app no Heroku, ele te dá meu-app-bonito.herokuapp.com. Você adiciona um CNAME em promo.suaempresa.com.br → meu-app-bonito.herokuapp.com. Tudo funciona.
Quando você deleta o app, o nome meu-app-bonito.herokuapp.com volta pra pool de nomes disponíveis. Quem registrar primeiro fica com ele. O CNAME no seu DNS continua apontando pra lá — agora sem você no controle.
Mesma coisa em:
- AWS S3 (
bucket-name.s3.amazonaws.com) - GitHub Pages (
user.github.io) - Azure (
*.azurewebsites.net,*.cloudapp.net) - Vercel (
*.vercel.app) - Netlify (
*.netlify.app) - Fastly, Surge, Bitbucket, Tumblr, Shopify, Zendesk, Statuspage, Helpscout, Mailgun...
A lista é enorme. Cada serviço com "pegue um nome único" e DNS apontando por nome é vulnerável.
O que o atacante faz depois
Não é só "site vergonhoso no ar". É bem pior:
- Phishing assinado pela sua marca. Cliente recebe e-mail "atualize sua senha", link aponta pra
promo.suaempresa.com.br/login, parece legítimo (HTTPS válido, domínio seu). Conversão de phishing dispara. - Roubo de cookies. Se o domínio mãe
suaempresa.com.brdefine cookies comDomain=.suaempresa.com.br, o subdomínio comprometido lê esses cookies. Sessão de cliente vaza. - Bypass de CORS. Sua API libera CORS pra
*.suaempresa.com.br. Agora o atacante tem origem permitida pra chamar sua API direto do navegador da vítima. - Abuso de SEO. Atacante hospeda conteúdo malicioso, faz backlink em fóruns, polui o ranking de marca da sua empresa.
- Distribuição de malware. Domínio com reputação positiva entrega payload, filtros corporativos liberam.
Como descobrir se você tem isso
Manualmente
-
Liste todos os subdomínios da sua empresa. O comando é:
dig +short any suaempresa.com.brE descoberta passiva via certificados (Certificate Transparency logs):
https://crt.sh/?q=%25.suaempresa.com.brO
crt.shmostra todo certificado SSL emitido pra sua árvore — inclui subdomínios esquecidos que você nem sabia que existiam. -
Pra cada subdomínio, veja o CNAME:
dig CNAME promo.suaempresa.com.br -
Acesse o destino. Se voltar página "No such app", "There isn't a GitHub Pages site here", "Repository not found", "NoSuchBucket", "404 Not Found · The requested URL was not found on this server", você tem candidato a takeover.
Sinais clássicos por provedor
| Provedor | Mensagem típica em takeover possível |
|---|---|
| Heroku | "No such app" |
| GitHub Pages | "There isn't a GitHub Pages site here." |
| AWS S3 | "NoSuchBucket" / "The specified bucket does not exist" |
| Azure | "404 Web Site not found. You may be seeing this error..." |
| Shopify | "Sorry, this shop is currently unavailable." |
| Fastly | "Fastly error: unknown domain" |
| Tumblr | "Whatever you were looking for doesn't currently exist at this address." |
Encontrou uma dessas no seu domínio? Apague o CNAME hoje.
A correção é grátis e simples
Não é patch. Não é WAF. Não é firewall. É remover registro de DNS órfão.
- Se o subdomínio não é mais usado: delete o CNAME.
- Se ainda é usado: garanta que o destino é seu de novo (reativa o app no Heroku, recria o bucket S3, etc.).
- Estabelece processo: decommission de serviço deve incluir "remover DNS" no checklist. Quase ninguém faz isso.
O problema é que ninguém olha
Empresa média brasileira tem 50–300 subdomínios. Ninguém mantém inventário atualizado. Marketing cria promo, lp, quiz, eventos. Time de produto cria staging, qa, legacy. RH cria vagas. Tudo pulverizado.
A defesa real é descoberta contínua + monitoramento de fingerprint:
- Listar subdomínios novos toda noite (DNS + CT logs).
- Pra cada um, fazer requisição HEAD/GET e classificar a resposta.
- Quando aparecer fingerprint de takeover ("No such app", etc.), alerta crítico.
Onde o Sentinela entra
A gente monitora a árvore do seu domínio principal e:
- Descobre subdomínios novos via DNS e Certificate Transparency
- Resolve cada um e classifica o destino
- Marca takeover potencial quando vê fingerprint de provedor abandonado
- Alerta antes de virar incidente
É o tipo de achado que pentest anual quase nunca pega (porque o subdomínio nasce e morre entre dois pentests) e que auditoria contínua resolve por construção.
A regra simples
Subdomínio é como chave de casa. Você não esquece chave em portaria pública porque "ninguém vai pegar". Mas no DNS deixa lá — porque é invisível. A diferença é que o atacante enxerga melhor do que você as chaves penduradas no muro.
Mapeia. Limpa. Monitora. É a defesa mais barata que existe.
Continue lendo