Senior Application Security Engineer (Offensive e AI Security)

Nossa história

Impactar desde o dia um. Foi com essa certeza que João Pedro Resende e Mateus Bicalho fundaram a Hotmart em 2011. Nascemos como uma startup e hoje somos uma empresa global de tecnologia, que entrega um ecossistema completo de soluções seguras e integradas para quem deseja criar, vender e escalar negócios digitais. E o melhor de tudo? Estamos só começando.

De cursos que mudam vidas a comunidades de nicho, todo tipo de história já aconteceu aqui. 1 em cada 4 brasileiros já consumiu conteúdo pela nossa plataforma. Afinal de contas, se as pessoas têm algo a ensinar, a Hotmart tem tudo para fazer acontecer.

Nossas pessoas

Hoje, somos mais de 1.700 Troopers espalhados pelo Brasil, Espanha, Colômbia, México, Estados Unidos e Países Baixos, onde fica localizada a nossa sede. E não importa onde estamos, o impacto positivo que geramos na vida das pessoas é o que torna o nosso trabalho único.

A transformação que queremos ver no mundo, começa em nós. Por isso, trabalhar na Hotmart é crescer com empatia, colaboração e responsabilidade. É saber que a inovação e a alta performance estão no nosso DNA. Porque o digital nos deu asas e jamais deixaremos o protagonismo para trás! 

Aqui você impacta de verdade.

Sobre a vaga

Estamos procurando um(a) Senior Application Security Engineer para ajudar a fortalecer a segurança de nossas aplicações, APIs, ciclo de vida de desenvolvimento e arquitetura de produtos modernos. 

Este cargo é focado em Segurança de Aplicações com uma mentalidade ofensiva. O profissional trabalhará em estreita colaboração com as equipes de engenharia e de produto para identificar riscos de segurança logo no início, validar vulnerabilidades por meio de testes controlados, apoiar práticas de desenvolvimento seguro e avaliar riscos emergentes relacionados ao uso de IA, LLMs, automação e sistemas baseados em agentes.

Esta não é uma função tradicional voltada apenas para Red Team, nem uma função exclusiva de IA. Estamos buscando alguém que entenda de desenvolvimento seguro, consiga realizar testes de segurança práticos (hands-on) e seja capaz de avaliar como novas tecnologias, como a IA, podem introduzir riscos de segurança nas aplicações e nos fluxos de negócios.

Principais atividades

• Realizar avaliações de segurança em aplicações web, APIs, microsserviços, integrações e fluxos críticos de negócios.
• Identificar e validar vulnerabilidades como falhas de controle de acesso, IDOR/BOLA, mass assignment, falhas de autenticação e autorização, webhooks inseguros, falhas de injeção, SSRF, exposição de dados, escalada de privilégios e abuso de lógica de negócios.
• Conduzir testes práticos (hands-on) de segurança em aplicações e APIs utilizando técnicas de segurança ofensiva de maneira controlada e responsável.
• Apoiar práticas de desenvolvimento seguro ao longo de todo o SDLC (Ciclo de Vida de Desenvolvimento de Software), incluindo revisões de design seguro, modelagem de ameaças, requisitos de segurança, suporte a code review e priorização de vulnerabilidades.
• Trabalhar em estreita colaboração com as equipes de engenharia para explicar descobertas, avaliar o impacto, recomendar correções práticas e apoiar a remediação.
• Avaliar riscos de segurança em recursos baseados em IA, integrações de LLM, fluxos de trabalho de automação, copilotos, sistemas baseados em RAG e aplicações agênticas, quando aplicável.
• Ajudar a identificar riscos como injeção de prompt (prompt injection), vazamento de dados sensíveis, uso inseguro de ferramentas, autonomia excessiva (excessive agency), limites fracos de autorização e integração insegura com sistemas internos.
• Criar scripts, ferramentas e automações para melhorar os testes de segurança, a coleta de evidências, a validação de vulnerabilidades e os fluxos de trabalho de AppSec.
• Contribuir para diretrizes de segurança, playbooks, checklists e padrões internos de segurança de aplicações, segurança de APIs e riscos relacionados à IA. 
• Produzir relatórios claros e acionáveis com evidências técnicas, impacto para o negócio, severidade e orientações para remediação.

Requisitos essenciais

• Sólida experiência em Segurança de Aplicações (AppSec), Segurança de Produto (ProdSec), Testes de Penetração (Pentest) em Web/APIs ou Segurança Ofensiva com foco em aplicações.
• Compreensão robusta de práticas de desenvolvimento seguro e dos riscos comuns de segurança de software.
• Experiência prática (hands-on) em testes de aplicações web, APIs, fluxos de autenticação, modelos de autorização, lógica de negócios, integrações e microsserviços.
• Forte conhecimento de OWASP Top 10, OWASP API Top 10, autenticação, autorização, OAuth/OIDC, JWT, APIs REST/GraphQL, webhooks e princípios de codificação segura.
• Capacidade de identificar, validar e explicar de forma clara as vulnerabilidades e seu impacto no mundo real.
• Experiência com ferramentas como Burp Suite, Postman/Insomnia, Nuclei, Semgrep, ferramentas de SAST/SCA/DAST, GitHub/GitLab, Docker ou tecnologias semelhantes.
• Capacidade de automatizar tarefas de segurança utilizando Python, JavaScript, Bash, Go ou outra linguagem de programação/scripting.
• Boa habilidade de comunicação para trabalhar com equipes de engenharia, produto e segurança.
• Capacidade de escrever documentação técnica clara, incluindo passos para reprodução, evidências, análise de impacto, severidade e recomendações de remediação.

Diferenciais

• Experiência com Red Team, Purple Team, programas de bug bounty, CTFs ou testes de segurança adversarial.
• Experiência com segurança em nuvem (Cloud Security), containers, Kubernetes, esteiras de CI/CD, infraestrutura como código (IaC) e práticas de DevSecOps.
• Familiaridade com tópicos de Segurança em IA, tais como segurança de LLMs, prompt injection, segurança de RAG, agentes de IA, uso inseguro de ferramentas, autonomia excessiva, vazamento de modelos/dados e evasão de proteções (guardrail bypass).
• Conhecimento de frameworks como OWASP ASVS, OWASP LLM Top 10, OWASP Agentic Security, MITRE ATT&CK, MITRE ATLAS, NIST SSDF, CIS Controls ou PCI DSS.
• Experiência nos setores de fintech, meios de pagamento, marketplaces, SaaS ou produtos digitais de alta escala.
• Experiência no desenvolvimento de ferramentas internas, scripts ou automações para apoiar testes de segurança e gestão de vulnerabilidades.

O que esperamos desse cargo

• Pensar como um atacante, mas trabalhar como parceria da engenharia.
• Entender como as aplicações são projetadas, desenvolvidas, implantadas e abusadas.
• Traduzir vulnerabilidades técnicas em riscos de negócios.
• Ajudar as equipes a corrigir problemas de maneira prática e escalável.
• Trazer profundidade em segurança ofensiva sem perder a perspectiva do desenvolvimento seguro. Manter-se atualizada sobre os riscos emergentes relacionados à IA e ajudar a empresa a adotar a IA de forma segura.

POR QUE TRANSFORMAR AO NOSSO LADO?

• Plano de saúde e odontológico com cobertura nacional, sem custo para o colaborador e com coparticipação para cônjuge e dependentes; 
• Vale refeição/alimentação (Flash - bandeira Visa); 
• Benefício flexível (Flash Multibenefícios - bandeira Visa), podendo ser destinado à alimentação, refeição, mobilidade (aplicativos de transporte, combustível, transporte público em SP), cultura, saúde e educação;
• Previdência privada; 
• Vale transporte;
• Seguro de vida;
• Wellhub;
• Auxílio creche para filhos de até cinco anos;
• Budget de educação: valor destinado aos investimentos relacionados à sua educação, de forma a contribuir para desenvolver e potencializar suas competências;
• Incentivo ao aprendizado de idiomas por meio de plataforma online;
• Baby On Board: benefício oferecido para as pessoas que estão se preparando para a maternidade e paternidade; 
• Licença maternidade estendida (180 dias);
• Licença Paternidade estendida (30 dias);
• Conexa Saúde: acesso online gratuito a profissionais da área da saúde - Nutricionista e Psicólogo;
• Participação anual nos lucros e resultados da companhia (PLR);
• Hotmart Recharge: bônus de 30% do salário bruto mensal, pago após cumprir o período aquisitivo de férias de 30 dias.

VEM PRA HOTMART

Fazer parte do nosso time é ter a certeza de que seu trabalho transforma vidas em escala global. Vem para a Hotmart e faça parte dessa transformação!