Estou em busca de um especialista sênior em cibersegurança, hacker ético, pentest, segurança ofensiva (Red Team) e arquitetura de segurança para realizar uma auditoria completa e testes de intrusão autorizados (Black Box / Grey Box) em uma infraestrutura privada de streaming, intranet corporativa e de gerenciamento de acervo audiovisual.

O objetivo deste trabalho é validar, na prática, a resiliência da infraestrutura contra técnicas reais de ataque, identificando vulnerabilidades, falhas de autenticação, brechas de acesso, exposição indevida de arquivos, riscos de intrusão, bypass de proteção, comprometimento de serviços internos e possibilidades de acesso indevido à propriedade intelectual da empresa.

Não procuro apenas alguém que rode scanners automatizados. Busco um profissional com forte capacidade técnica, visão arquitetural, experiência prática em exploração controlada de vulnerabilidades e profundo entendimento de infraestrutura, redes, APIs, autenticação, segurança ofensiva e proteção de mídia privada.

Contexto técnico do ambiente:

A infraestrutura consiste em um ambiente interno corporativo (intranet) voltado ao gerenciamento de acervo audiovisual, autenticação de usuários, pesquisa operacional de conteúdo e serviços internos integrados.

O ambiente opera sobre uma arquitetura híbrida baseada em servidores Linux e Windows, integrando autenticação, APIs internas, containers Docker, serviços de mídia, gerenciamento de permissões, banco de dados, armazenamento audiovisual e sistemas internos corporativos.

A intranet possui painel web restrito por autenticação (usuário e senha), permitindo navegação, pesquisa, indexação, consulta operacional e gerenciamento de conteúdos audiovisuais, arquivos MP4, documentação interna e serviços associados.

O ecossistema inclui fluxos privados de mídia, visualização de arquivos audiovisuais em formatos otimizados para consulta operacional (proxy/baixa resolução), mecanismos internos de busca, permissões de acesso, APIs, sessões autenticadas e comunicação entre serviços internos.

Arquitetura segmentada de rede, containers Docker, serviços internos integrados e mecanismos de proteção de acesso e distribuição de conteúdo.

O principal objetivo da auditoria é validar a proteção da propriedade intelectual, verificando a resistência da arquitetura contra tentativas de acesso indevido, enumeração, manipulação de sessão, exploração de vulnerabilidades, scraping, download direto, exposição indevida de arquivos, reprodução não autorizada, bypass de autenticação e outras formas de comprometimento.

Escopo do Pentest / Red Team:

- Segurança da intranet corporativa, painel administrativo e autenticação de usuários.
- Segurança de APIs, autenticação, permissões, sessões, tokens, credenciais e gestão de acesso.
- Resistência contra brute force, credential stuffing, enumeração de usuários, abuso de autenticação e rate limiting.
- Vulnerabilidades Web (OWASP Top 10), incluindo SQL Injection (SQLi), XSS, IDOR, falhas de autenticação, exposição indevida de endpoints e falhas de configuração.
- Segurança de banco de dados, comunicação interna, permissões e possíveis superfícies de exposição.
- Segurança de rotas internas, endpoints, arquitetura de distribuição de mídia e superfícies de ataque.
- Proteção contra scraping, download direto, automação indevida e acesso não autorizado a arquivos audiovisuais.
- Possibilidade de visualizar, reproduzir ou baixar conteúdos audiovisuais sem autorização por falhas de arquitetura, autenticação, sessão ou distribuição.
- Segurança de containers Docker, permissões Linux, hardening da infraestrutura, isolamento entre serviços e arquitetura de containers.
- Segurança de rede, VPN, firewall, WAF, fail2ban, proxies reversos, proteção de borda, roteamento, segmentação de rede e isolamento da infraestrutura interna.
- Logs, monitoramento, telemetria, rastreabilidade e mapeamento de riscos técnicos.
- Segurança em nuvem, infraestrutura híbrida, práticas avançadas de DevOps, Kubernetes e proteção de serviços expostos.

Perfil do profissional buscado:

Busco alguém com experiência comprovada em:

- Arquitetura de cibersegurança e avaliação de segurança.
- Pentest Web, segurança ofensiva (Red Team) e avaliação de vulnerabilidades.
- Segurança de servidores Linux/Windows e hardening de infraestrutura.
- Docker, Kubernetes, microsserviços, APIs REST, autenticação e arquitetura híbrida.
- Redes corporativas, segurança de borda, proxies reversos, WAF, VPN e proteção de tráfego.
- Segurança de dados, monitoramento e proteção de infraestrutura.
- Segurança aplicada a plataformas privadas, intranets corporativas, streaming, mídia privada, VOD ou gerenciamento de ativos audiovisuais (grande diferencial).
- Capacidade de pensar como um atacante real, mantendo metodologia, documentação técnica, responsabilidade e visão arquitetural.