Senior Application Security Engineer (Offensive e AI Security)

Nossa história

Impactar desde o dia um. Foi com essa certeza que João Pedro Resende e Mateus Bicalho fundaram a Hotmart em 2011. Nascemos como uma startup e hoje somos uma empresa global de tecnologia, que entrega um ecossistema completo de soluções seguras e integradas para quem deseja criar, vender e escalar negócios digitais. E o melhor de tudo? Estamos só começando.

De cursos que mudam vidas a comunidades de nicho, todo tipo de história já aconteceu aqui. 1 em cada 4 brasileiros já consumiu conteúdo pela nossa plataforma. Afinal de contas, se as pessoas têm algo a ensinar, a Hotmart tem tudo para fazer acontecer.

Nossas pessoas

Hoje, somos mais de 1.700 Troopers espalhados pelo Brasil, Espanha, Colômbia, México, Estados Unidos e Países Baixos, onde fica localizada a nossa sede. E não importa onde estamos, o impacto positivo que geramos na vida das pessoas é o que torna o nosso trabalho único.

A transformação que queremos ver no mundo, começa em nós. Por isso, trabalhar na Hotmart é crescer com empatia, colaboração e responsabilidade. É saber que a inovação e a alta performance estão no nosso DNA. Porque o digital nos deu asas e jamais deixaremos o protagonismo para trás!

Aqui você impacta de verdade.

Sobre a vaga

Estamos procurando um(a) Senior Application Security Engineer para ajudar a fortalecer a segurança de nossas aplicações, APIs, ciclo de vida de desenvolvimento e arquitetura de produtos modernos.

Este cargo é focado em Segurança de Aplicações com uma mentalidade ofensiva. O profissional trabalhará em estreita colaboração com as equipes de engenharia e de produto para identificar riscos de segurança logo no início, validar vulnerabilidades por meio de testes controlados, apoiar práticas de desenvolvimento seguro e avaliar riscos emergentes relacionados ao uso de IA, LLMs, automação e sistemas baseados em agentes.

Esta não é uma função tradicional voltada apenas para Red Team, nem uma função exclusiva de IA. Estamos buscando alguém que entenda de desenvolvimento seguro, consiga realizar testes de segurança práticos (hands-on) e seja capaz de avaliar como novas tecnologias, como a IA, podem introduzir riscos de segurança nas aplicações e nos fluxos de negócios.

Principais atividades

• Realizar avaliações de segurança em aplicações web, APIs, microsserviços, integrações e fluxos críticos de negócios.
• Identificar e validar vulnerabilidades como falhas de controle de acesso, IDOR/BOLA, mass assignment, falhas de autenticação e autorização, webhooks inseguros, falhas de injeção, SSRF, exposição de dados, escalada de privilégios e abuso de lógica de negócios.
• Conduzir testes práticos (hands-on) de segurança em aplicações e APIs utilizando técnicas de segurança ofensiva de maneira controlada e responsável.
• Apoiar práticas de desenvolvimento seguro ao longo de todo o SDLC (Ciclo de Vida de Desenvolvimento de Software), incluindo revisões de design seguro, modelagem de ameaças, requisitos de segurança, suporte a code review e priorização de vulnerabilidades.
• Trabalhar em estreita colaboração com as equipes de engenharia para explicar descobertas, avaliar o impacto, recomendar correções práticas e apoiar a remediação.
• Avaliar riscos de segurança em recursos baseados em IA, integrações de LLM, fluxos de trabalho de automação, copilotos, sistemas baseados em RAG e aplicações agênticas, quando aplicável.
• Ajudar a identificar riscos como injeção de prompt (prompt injection), vazamento de dados sensíveis, uso inseguro de ferramentas, autonomia excessiva (excessive agency), limites fracos de autorização e integração insegura com sistemas internos.
• Criar scripts, ferramentas e automações para melhorar os testes de segurança, a coleta de evidências, a validação de vulnerabilidades e os fluxos de trabalho de AppSec.
• Contribuir para diretrizes de segurança, playbooks, checklists e padrões internos de segurança de aplicações, segurança de APIs e riscos relacionados à IA.
• Produzir relatórios claros e acionáveis com evidências técnicas, impacto para o negócio, severidade e orientações para remediação.

Requisitos essenciais

• Sólida experiência em Segurança de Aplicações (AppSec), Segurança de Produto (ProdSec), Testes de Penetração (Pentest) em Web/APIs ou Segurança Ofensiva com foco em aplicações.
• Compreensão robusta de práticas de desenvolvimento seguro e dos riscos comuns de segurança de software.
• Experiência prática (hands-on) em testes de aplicações web, APIs, fluxos de autenticação, modelos de autorização, lógica de negócios, integrações e microsserviços.
• Forte conhecimento de OWASP Top 10, OWASP API Top 10, autenticação, autorização, OAuth/OIDC, JWT, APIs REST/GraphQL, webhooks e princípios de codificação segura.
• Capacidade de identificar, validar e explicar de forma clara as vulnerabilidades e seu impacto no mundo real.
• Experiência com ferramentas como Burp Suite, Postman/Insomnia, Nuclei, Semgrep, ferramentas de SAST/SCA/DAST, GitHub/GitLab, Docker ou tecnologias semelhantes.
• Capacidade de automatizar tarefas de segurança utilizando Python, JavaScript, Bash, Go ou outra linguagem de programação/scripting.
• Boa habilidade de comunicação para trabalhar com equipes de engenharia, produto e segurança.
• Capacidade de escrever documentação técnica clara, incluindo passos para reprodução, evidências, análise de impacto, severidade e recomendações de remediação.

Diferenciais

• Experiência com Red Team, Purple Team, programas de bug bounty, CTFs ou testes de segurança adversarial.
• Experiência com segurança em nuvem (Cloud Security), containers, Kubernetes, esteiras de CI/CD, infraestrutura como código (IaC) e práticas de DevSecOps.
• Familiaridade com tópicos de Segurança em IA, tais como segurança de LLMs, prompt injection, segurança de RAG, agentes de IA, uso inseguro de ferramentas, autonomia excessiva, vazamento de modelos/dados e evasão de proteções (guardrail bypass).
• Conhecimento de frameworks como OWASP ASVS, OWASP LLM Top 10, OWASP Agentic Security, MITRE ATT&CK, MITRE ATLAS, NIST SSDF, CIS Controls ou PCI DSS.
• Experiência nos setores de fintech, meios de pagamento, marketplaces, SaaS ou produtos digitais de alta escala.
• Experiência no desenvolvimento de ferramentas internas, scripts ou automações para apoiar testes de segurança e gestão de vulnerabilidades.

O que esperamos desse cargo

• Pensar como um atacante, mas trabalhar como parceria da engenharia.
• Entender como as aplicações são projetadas, desenvolvidas, implantadas e abusadas.
• Traduzir vulnerabilidades técnicas em riscos de negócios.
• Ajudar as equipes a corrigir problemas de maneira prática e escalável.
• Trazer profundidade em segurança ofensiva sem perder a perspectiva do desenvolvimento seguro. Manter-se atualizada sobre os riscos emergentes relacionados à IA e ajudar a empresa a adotar a IA de forma segura.