Nosso Modo de Fazer no Time:
Transforme sua carreira com o iFood! Somos uma empresa brasileira de tecnologia referência na América Latina. Por meio de soluções inovadoras, conectamos milhares de restaurantes a milhões de consumidores diariamente com uma média de 100 milhões de pedidos mensais. Além do delivery de comida, também somos Mercado, Farmácia e Pet. Temos também o iFood Pago, nossa Fintech, que engloba o iFood Benefícios, o vale alimentação e refeição do iFood e o próprio iFood Pago, o banco do restaurante. Junte-se a nós e faça parte de uma equipe que está sempre à frente com tecnologia de ponta e inovação constante.
Seu Cardápio Diário:
- Planejar e executar operações ofensivas (Red Team engagements, Adversary Simulation/Emulation) contra a infraestrutura, aplicações e processos do iFood Pago, simulando adversários reais com foco em impacto financeiro.
- Realizar testes de segurança em aplicações web, APIs (REST/GraphQL/gRPC) e aplicações mobile (Android e iOS), incluindo análise estática, dinâmica e de runtime.
- Realizar testes e avaliar a segurança de ambientes cloud-native, incluindo Kubernetes, containers, service meshes.
- Conduzir testes de segurança em sistemas AI-powered, identificando vulnerabilidades como prompt injection, model manipulation, data poisoning, bypass de guardrails, entre outras.
- Desenvolver automações, ferramentas ofensivas e integrações utilizando AI/LLMs para escalar processos e aprimorar a identificação e exploração de vulnerabilidades.
- Documentar findings com clareza, demonstrando impacto real ao negócio e propondo planos de ações para correção.
- Colaborar com Blue Team e CSIRT em exercícios de Purple Team, contribuindo para melhoria contínua de detecção e resposta.
- Manter-se atualizado sobre TTPs emergentes, especialmente aquelas direcionadas ao setor financeiro e de pagamentos na América Latina.
Ingredientes Que Buscamos:
- Experiência em Red Team operations e Penetration Testing em ambientes corporativos.
- Domínio em testes de segurança de aplicações web e APIs, incluindo vulnerabilidades além do OWASP Top 10 (broken authentication, mass assignment, BOLA/IDOR, race conditions, business logic flaws em fluxos financeiros).
- Experiência em segurança mobile (Android/iOS): reversing de APKs/IPAs, hooking com Frida, bypass de certificate pinning, análise de armazenamento local, etc.
- Conhecimento prático em segurança de ambientes cloud-native: Kubernetes (RBAC, pod escape, service account abuse), Docker (container breakout), AWS/GCP (privilege escalation, misconfiguration exploitation).
- Experiência com infraestrutura de Red Team: C2 frameworks (Cobalt Strike, Sliver, custom C2), redirectors, OPSEC, evasão e persistência.
- Habilidade em programação e scripting (Python, Go, Bash) para desenvolvimento de tooling ofensivo e automações.
- Conhecimento do MITRE ATT&CK Framework e capacidade de mapear operações a TTPs relevantes.
- Familiaridade com protocolos e sistemas financeiros é um diferencial forte.
- Traduzir findings técnicos em risco de negócio para diferentes audiências.
Para Realçar o Sabor:
- Experiência em testes de segurança de sistemas baseados em LLMs/AI (prompt injection, jailbreaking, tool-use abuse, data exfiltration via AI agents).
- Uso de AI/LLMs para automação de tarefas ofensivas (triagem de vulnerabilidades, geração de payloads, análise de código, reconhecimento automatizado).
- Participação em programas de bug bounty com track record relevante.
- Publicação de pesquisas, CVEs, write-ups ou palestras em conferências de segurança.
- Certificações relevantes (OSCP, OSEP, OSWE, CRTO, CARTE, CRT, eMAPT).
- Experiência prévia em fintechs, bancos ou empresas de pagamentos.
Buscamos uma pessoa apaixonada por segurança da informação, que esteja sempre em busca de novos aprendizados e que goste de desafios. Se você se identifica com este perfil, adoraríamos conhecer você!