Senior Application Security Engineer (Offensive e AI Security)
External
Hotmartcareersbr · São Paulo, BrazilPrepare for this interview
EliteAI-generated questions, company research, and talking points tailored to this role
About the role
Nossa história Impactar desde o dia um. Foi com essa certeza que João Pedro Resende e Mateus Bicalho fundaram a Hotmart em 2011. Nascemos como uma startup e hoje somos uma empresa global de tecnologia, que entrega um ecossistema completo de soluções seguras e integradas para quem deseja criar, vender e escalar negócios digitais. E o melhor de tudo? Estamos só começando. De cursos que mudam vidas a comunidades de nicho, todo tipo de história já aconteceu aqui. 1 em cada 4 brasileiros já consumiu conteúdo pela nossa plataforma. Afinal de contas, se as pessoas têm algo a ensinar, a Hotmart tem tudo para fazer acontecer. Nossas pessoas Hoje, somos mais de 1.700 Troopers espalhados pelo Brasil, Espanha, Colômbia, México, Estados Unidos e Países Baixos, onde fica localizada a nossa sede. E não importa onde estamos, o impacto positivo que geramos na vida das pessoas é o que torna o nosso trabalho único. A transformação que queremos ver no mundo, começa em nós. Por isso, trabalhar na Hotmart é crescer com empatia, colaboração e responsabilidade. É saber que a inovação e a alta performance estão no nosso DNA. Porque o digital nos deu asas e jamais deixaremos o protagonismo para trás! Aqui você impacta de verdade. Sobre a vaga Estamos procurando um(a) Senior Application Security Engineer para ajudar a fortalecer a segurança de nossas aplicações, APIs, ciclo de vida de desenvolvimento e arquitetura de produtos modernos. Este cargo é focado em Segurança de Aplicações com uma mentalidade ofensiva . O profissional trabalhará em estreita colaboração com as equipes de engenharia e de produto para identificar riscos de segurança logo no início, validar vulnerabilidades por meio de testes controlados, apoiar práticas de desenvolvimento seguro e avaliar riscos emergentes relacionados ao uso de IA, LLMs, automação e sistemas baseados em agentes. Esta não é uma função tradicional voltada apenas para Red Team, nem uma função exclusiva de IA. Estamos buscando alguém que entenda de desenvolvimento seguro, consiga realizar testes de segurança práticos (hands-on) e seja capaz de avaliar como novas tecnologias, como a IA, podem introduzir riscos de segurança nas aplicações e nos fluxos de negócios. Principais atividades Realizar avaliações de segurança em aplicações web, APIs, microsserviços, integrações e fluxos críticos de negócios. Identificar e validar vulnerabilidades como falhas de controle de acesso, IDOR/BOLA, mass assignment, falhas de autenticação e autorização, webhooks inseguros, falhas de injeção, SSRF, exposição de dados, escalada de privilégios e abuso de lógica de negócios. Conduzir testes práticos (hands-on) de segurança em aplicações e APIs utilizando técnicas de segurança ofensiva de maneira controlada e responsável. Apoiar práticas de desenvolvimento seguro ao longo de todo o SDLC (Ciclo de Vida de Desenvolvimento de Software), incluindo revisões de design seguro, modelagem de ameaças, requisitos de segurança, suporte a code review e priorização de vulnerabilidades. Trabalhar em estreita colaboração com as equipes de engenharia para explicar descobertas, avaliar o impacto, recomendar correções práticas e apoiar a remediação. Avaliar riscos de segurança em recursos baseados em IA, integrações de LLM, fluxos de trabalho de automação, copilotos, sistemas baseados em RAG e aplicações agênticas, quando aplicável. Ajudar a identificar riscos como injeção de prompt (prompt injection), vazamento de dados sensíveis, uso inseguro de ferramentas, autonomia excessiva (excessive agency), limites fracos de autorização e integração insegura com sistemas internos. Criar scripts, ferramentas e automações para melhorar os testes de segurança, a coleta de evidências, a validação de vulnerabilidades e os fluxos de trabalho de AppSec. Contribuir para diretrizes de segurança, playbooks, checklists e padrões internos de segurança de aplicações, segurança de APIs e riscos relacionados à IA. Produzir relatórios claros e acionáveis com evidências técnicas, impacto para o negócio, severidade e orientações para remediação. Requisitos essenciais Sólida experiência em Segurança de Aplicações (AppSec), Segurança de Produto (ProdSec), Testes de Penetração (Pentest) em Web/APIs ou Segurança Ofensiva com foco em aplicações. Compreensão robusta de práticas de desenvolvimento seguro e dos riscos comuns de segurança de software. Experiência prática (hands-on) em testes de aplicações web, APIs, fluxos de autenticação, modelos de autorização, lógica de negócios, integrações e microsserviços. Forte conhecimento de OWASP Top 10, OWASP API Top 10, autenticação, autorização, OAuth/OIDC, JWT, APIs REST/GraphQL, webhooks e princípios de codificação segura. Capacidade de identificar, validar e explicar de forma clara as vulnerabilidades e seu impacto no mundo real. Experiência com ferramentas como Burp Suite, Postman/Insomnia, Nuclei, Semgrep, ferramentas de SAST/SCA/DAST, GitHub/GitLab, Docker ou tecnologias semelhantes. Capacida
Your Match
How well this role fits your profile.
Company Intel
What employees say
Worked at hotmartcareersbr? Share your experience