🛡️ Especialista em CyberSecurity | Arquiteto Cibersegurança | LGPD | Proteção de Dados | Análise de Risco | Segurança da Informação | Etical Hacker
nome: Hiago Silva
função: Especialista em CyberSecurity | Arquiteto Cibersegurança | LGPD | Proteção de Dados | Análise de Risco | Segurança da Informação | Etical Hacker
empresa: SH Empreendimentos LTDA
foco: Bug Bounty + Pentests Privados.
especialização: Segurança de SaaS | APIs | Cloud | Lógica de Negócio
plataformas: HackerOne | Bugcrowd | Intigriti
localização: Brasil 🇧🇷Profissional de segurança ofensiva focado em encontrar e reportar vulnerabilidades reais em plataformas SaaS, APIs e infraestrutura cloud. Especializado em falhas críticas de controle de acesso, lógica de negócio e configurações inseguras que geram impacto real no mundo corporativo.
| Área | Habilidades |
|---|---|
| 🔐 Controle de Acesso | IDOR, Escalação de Privilégios, Broken Authorization |
| 🌐 Segurança de APIs | REST, GraphQL, Supabase, Firebase, tRPC, Webhooks |
| 💰 Lógica de Negócio | Bypass de Pagamento, Manipulação de Créditos, Escalação de Planos |
| ☁️ Segurança Cloud | Supabase RLS, Firebase Rules, AWS Misconfigs, Storage Exposure |
| 🕷️ Aplicações Web | XSS, SSRF, CSRF, Injection, Auth Bypass, Mass Assignment |
| 🔍 Recon & OSINT | Análise de JS Bundles, Enumeração de Subdomínios, API Discovery |
┌──────────────────────────────────────────────────┐
│ 🏆 HUNTING STATS │
├──────────────────────────────────────────────────┤
│ 🔴 Findings Críticos │ 20+ │
│ 🟠 Findings Altos │ 30+ │
│ 🟡 Findings Médios │ 40+ │
│ 📝 Reports Totais │ 100+ │
│ 🎯 Pentests Privados │ 15+ │
│ 💻 Plataformas Testadas │ 30+ │
│ 💰 Bounties Pagos │ ✅ │
└──────────────────────────────────────────────────┘
Todos os findings foram reportados de forma responsável e são compartilhados com permissão ou após correção.
🔴 Crítico — Escalação de Privilégios para Admin (Plataforma SaaS)
Qualquer usuário autenticado podia escalar para role admin + injetar créditos ilimitados via uma única requisição API. Afetou 5.000+ usuários.
🔴 Crítico — Exposição Massiva de Dados sem RLS (Plataforma de IA)
86.000+ perfis de usuários com PII (emails, dados pessoais) expostos sem autenticação por ausência de Row-Level Security.
🔴 Crítico — Bypass de Pagamento Completo (SaaS de Marketing)
Injeção de créditos sem pagamento + abuso de serviços de IA (gerações ilimitadas). Cadeia completa de impacto financeiro demonstrada.
🟠 Alto — SSRF com Acesso à Rede Interna (Provedor Cloud)
Server-Side Request Forgery via funcionalidade de monitoramento, acessando endpoints internos de metadata e infraestrutura cloud.
🟠 Alto — Vazamento de PII & Dados de Pagamento (SaaS Fintech)
CPF, nomes completos, emails e secrets do Stripe expostos para usuários anônimos via políticas de banco de dados mal configuradas.
1. 🔍 Recon Profundo → Análise de JS bundles, discovery de APIs, extração de configs
2. 🗺️ Superfície → Mapear cada endpoint, tabela, RPC e permissão
3. 🎯 Testes Focados → Priorizar alto impacto: auth, pagamentos, acesso a dados
4. 💥 Provar Impacto → PoC com dados reais, comandos curl, screenshots
5. 📝 Reports Claros → Passos de reprodução, impacto de negócio, remediação
6. ✅ Verificar Fixes → Reteste após patches para confirmar correção
💼 Disponível para assessments de segurança e pentests privados
📩 Me encontre no LinkedIn para contato profissional
"Segurança não é sobre encontrar bugs — é sobre provar impacto."
| Projeto | PR | Descrição | Status |
|---|---|---|---|
 |
#43385 | Fix: validação de arquivo vazio no Edge TTS — previne envio de áudio sem som | ✅ Merged |
