latchhire

Senior Application Security Engineer (Offensive e AI Security)

Hotmart · BRASIL, SÃO PAULO; BRASIL,BELO HORIZONTE
senior security engineerapplication security
Apply on Hotmart →
Nossa história Impactar desde o dia um. Foi com essa certeza que João Pedro Resende e Mateus Bicalho fundaram a Hotmart em 2011. Nascemos como uma startup e hoje somos uma empresa global de tecnologia, que entrega um ecossistema completo de soluções seguras e integradas para quem deseja criar, vender e escalar negócios digitais. E o melhor de tudo? Estamos só começando. De cursos que mudam vidas a comunidades de nicho, todo tipo de história já aconteceu aqui. 1 em cada 4 brasileiros já consumiu conteúdo pela nossa plataforma. Afinal de contas, se as pessoas têm algo a ensinar, a Hotmart tem tudo para fazer acontecer. Nossas pessoas Hoje, somos mais de 1.700 Troopers espalhados pelo Brasil, Espanha, Colômbia, México, Estados Unidos e Países Baixos, onde fica localizada a nossa sede. E não importa onde estamos, o impacto positivo que geramos na vida das pessoas é o que torna o nosso trabalho único. A transformação que queremos ver no mundo, começa em nós. Por isso, trabalhar na Hotmart é crescer com empatia, colaboração e responsabilidade. É saber que a inovação e a alta performance estão no nosso DNA. Porque o digital nos deu asas e jamais deixaremos o protagonismo para trás! Aqui você impacta de verdade. Sobre a vaga Estamos procurando um(a) Senior Application Security Engineer para ajudar a fortalecer a segurança de nossas aplicações, APIs, ciclo de vida de desenvolvimento e arquitetura de produtos modernos. Este cargo é focado em Segurança de Aplicações com uma mentalidade ofensiva . O profissional trabalhará em estreita colaboração com as equipes de engenharia e de produto para identificar riscos de segurança logo no início, validar vulnerabilidades por meio de testes controlados, apoiar práticas de desenvolvimento seguro e avaliar riscos emergentes relacionados ao uso de IA, LLMs, automação e sistemas baseados em agentes. Esta não é uma função tradicional voltada apenas para Red Team, nem uma função exclusiva de IA. Estamos buscando alguém que entenda de desenvolvimento seguro, consiga realizar testes de segurança práticos (hands-on) e seja capaz de avaliar como novas tecnologias, como a IA, podem introduzir riscos de segurança nas aplicações e nos fluxos de negócios. Principais atividades Realizar avaliações de segurança em aplicações web, APIs, microsserviços, integrações e fluxos críticos de negócios. Identificar e validar vulnerabilidades como falhas de controle de acesso, IDOR/BOLA, mass assignment, falhas de autenticação e autorização, webhooks inseguros, falhas de injeção, SSRF, exposição de dados, escalada de privilégios e abuso de lógica de negócios. Conduzir testes práticos (hands-on) de segurança em aplicações e APIs utilizando técnicas de segurança ofensiva de maneira controlada e responsável. Apoiar práticas de desenvolvimento seguro ao longo de todo o SDLC (Ciclo de Vida de Desenvolvimento de Software), incluindo revisões de design seguro, modelagem de ameaças, requisitos de segurança, suporte a code review e priorização de vulnerabilidades. Trabalhar em estreita colaboração com as equipes de engenharia para explicar descobertas, avaliar o impacto, recomendar correções práticas e apoiar a remediação. Avaliar riscos de segurança em recursos baseados em IA, integrações de LLM, fluxos de trabalho de automação, copilotos, sistemas baseados em RAG e aplicações agênticas, quando aplicável. Ajudar a identificar riscos como injeção de prompt (prompt injection), vazamento de dados sensíveis, uso inseguro de ferramentas, autonomia excessiva (excessive agency), limites fracos de autorização e integração insegura com sistemas internos. Criar scripts, ferramentas e automações para melhorar os testes de segurança, a coleta de evidências, a validação de vulnerabilidades e os fluxos de trabalho de AppSec. Contribuir para diretrizes de segurança, playbooks, checklists e padrões internos de segurança de aplicações, segurança de APIs e riscos relacionados à IA. Produzir relatórios claros e acionáveis com evidências técnicas, impacto para o negócio, severidade e orientações para remediação. Requisitos essenciais Sólida experiência em Segurança de Aplicações (AppSec), Segurança de Produto (ProdSec), Testes de Penetração (Pentest) em Web/APIs ou Segurança Ofensiva com foco em aplicações. Compreensão robusta de práticas de desenvolvimento seguro e dos riscos comuns de segurança de software. Experiência prática (hands-on) em testes de aplicações web, APIs, fluxos de autenticação, modelos de autorização, lógica de negócios, integrações e microsserviços. Forte conhecimento de OWASP Top 10, OWASP API Top 10, autenticação, autorização, OAuth/OIDC, JWT, APIs REST/GraphQL, webhooks e princípios de codificação segura. Capacidade de identificar, validar e explicar de forma clara as vulnerabilidades e seu impacto no mundo real. Experiência com ferramentas como Burp Suite, Postman/Insomnia, Nuclei, Semgrep, ferramentas de SAST/SCA/DAST, GitHub/GitLab, Docker ou tecnologias semelhantes. Capacidade de automatizar tarefas de segurança utilizando Python, JavaScript, Bash, Go ou outra linguagem de programação/scripting. Boa habilidade de comunicação para trabalhar com equipes de engenharia, produto e segurança. Capacidade de escrever documentação técnica clara, incluindo passos para reprodução, evidências, análise de impacto, severidade e recomendações de remediação. Diferenciais Experiência com Red Team, Purple Team, programas de bug bounty, CTFs ou testes de segurança adversarial. Experiência com segurança em nuvem (Cloud Security), containers, Kubernetes, esteiras de CI/CD, infraestrutura como código (IaC) e práticas de DevSecOps. Familiaridade com tópicos de Segurança em IA, tais como segurança de LLMs, prompt injection, segurança de RAG, agentes de IA, uso inseguro de ferramentas, autonomia excessiva, vazamento de modelos/dados e evasão de proteções (guardrail bypass). Conhecimento de frameworks como OWASP ASVS, OWASP LLM Top 10, OWASP Agentic Security, MITRE ATT&CK, MITRE ATLAS, NIST SSDF, CIS Controls ou PCI DSS. Experiência nos setores de fintech, meios de pagamento, marketplaces, SaaS ou produtos digitais de alta escala. Experiência no desenvolvimento de ferramentas internas, scripts ou automações para apoiar testes de segurança e gestão de vulnerabilidades. O que esperamos desse cargo Pensar como um atacante, mas trabalhar como parceria da engenharia. Entender como as aplicações são projetadas, desenvolvidas, implantadas e abusadas. Traduzir vulnerabilidades técnicas em riscos de negócios. Ajudar as equipes a corrigir problemas de maneira prática e escalável. Trazer profundidade em segurança ofensiva sem perder a perspectiva do desenvolvimento seguro. Manter-se atualizada sobre os riscos emergentes relacionados à IA e ajudar a empresa a adotar a IA de forma segura. POR QUE TRANSFORMAR AO NOSSO LADO? Plano de saúde e odontológico com cobertura nacional, sem custo para o colaborador e com coparticipação para cônjuge e dependentes; Vale refeição/alimentação (Flash - bandeira Visa); Benefício flexível (Flash Multibenefícios - bandeira Visa), podendo ser destinado à alimentação, refeição, mobilidade (aplicativos de transporte, combustível, transporte público em SP), cultura, saúde e educação; Previdência privada; Vale transporte; Seguro de vida; Wellhub; Auxílio creche para filhos de até cinco anos; Budget de educação: valor destinado aos investimentos relacionados à sua educação, de forma a contribuir para desenvolver e potencializar suas competências; Incentivo ao aprendizado de idiomas por meio de plataforma online; Baby On Board: benefício oferecido para as pessoas que estão se preparando para a maternidade e paternidade; Licença maternidade estendida (180 dias); Licença Paternidade estendida (30 dias); Conexa Saúde: acesso online gratuito a profissionais da área da saúde - Nutricionista e Psicólogo; Participação anual nos lucros e resultados da companhia (PLR); Hotmart Recharge: bônus de 30% do salário bruto mensal, pago após cumprir o período aquisitivo de férias de 30 dias. VEM PRA HOTMART Fazer parte do nosso time é ter a certeza de que seu trabalho transforma vidas em escala global. Vem para a Hotmart e faça parte dessa transformação!
Posted 2026-06-24