Olá, sou o Eduardo

Eu sou

Com 3 anos de experiência dedicada como Pentester em equipes de Red Team, desenvolvi uma expertise significativa em testes de penetração em uma ampla gama de setores, incluindo bancos, saúde, governo e indústrias. Meu foco abrange não apenas a exploração de vulnerabilidades em aplicações web, infraestruturas/Active Directory (AD) e aplicações mobile, mas também a obtenção de resultados de excelência. Estou comprometido com a elaboração de relatórios detalhados e precisos. A constante busca pela excelência me levou a investir continuamente em minha formação profissional, realizando certificações específicas da área de segurança ofensiva. Esta dedicação não apenas aprofundou meu conhecimento técnico, mas também me possibilitou receber diversos reconhecimentos e recompensas de grandes empresas por identificar e reportar falhas de segurança críticas.

Contato

Minha Jornada

Educação

ATITUS

Graduação, Ciência da Computação | 2020 - 2023

Certificado

Zero-Point Security

Red Team Ops (CRTO) | 2022

Certificado

OffSec

Offensive Security Certified Professional (OSCP) | Loading...

Certificado

Experiência

Red Team Operator | Intelliway

Na Intelliway, atuei na realização de Pentest em aplicações web e infraestruturas/AD, Red Team Engagements, execução de campanhas de phishing, atividades de OSINT e avaliações de segurança de senhas. Me destaquei na análise crítica de vulnerabilidades, apresentando resultados e recomendações de forma clara e eficaz aos clientes.

Cyber Exploitation Analyst | ISH Tecnologia

Na ISH, destaquei-me na realização de pentests em aplicações web, infraestruturas/AD e mobile, além de assumir a liderança de algumas dessas atividades. Participei ativamente de engajamentos de Red Team, aplicando técnicas avançadas para simular ataques reais e identificar vulnerabilidades. A apresentação dos resultados aos clientes foi uma parte essencial do meu trabalho, fornecendo análises detalhadas e recomendações estratégicas para fortalecer a segurança de suas informações.

Offensive Security Analyst | KRYPTUS Segurança da Informação S.A. (EED)

Na Kryptus, desempenhei um papel crucial em pentests abrangendo aplicações web, infraestruturas/AD e aplicações mobile, liderando também projetos de Pentest. Destaco-me na apresentação de resultados aos clientes, traduzindo achados técnicos complexos em insights claros e acionáveis, reforçando assim a segurança de suas operações.

Minhas CVE's

[CVE-2023-2043]

SQL Injection em Control iD RHiD 23.3.19.0, afetando "/v2/customerdb/operator.svc/a".

[CVE-2023-2044]

Stored Cross-Site Scripting em Control iD iDSecure 4.7.29.1, afetando o componente "Dispositivos".

[CVE-2023-2421]

Stored Cross-Site Scripting em Control iD RHiD 23.3.19.0, afetando o argumento "Name".

[CVE-2023-2524]

Direct Request/BAC, uma vulnerabilidade classificada como crítica encontrada em Control iD RHiD 23.3.19.0.

[CVE-2023-2739]

Reflected Cross-Site Scripting em Gira HomeServer, afetando o argumento "lst".

[CVE-2023-4983]

Reflected Cross-Site Scripting em um plugin da Shopify chamado Shopicial, afetando o componente "Comentários".

[CVE-2024-22831]

Reflected Cross-Site Scripting em Mono-Project Mono XSP 6.12.0 por meio parâmetro "Tag" na função "ConverterService".

Bug Bounty

Lista de empresas nas quais identifiquei, explorei e reportei vulnerabilidades, recebendo, por consequência, recompensas por parte das mesmas.

Atlassian
Dell
Telenet
TIM
UOL
InnoGames
PowerSchool
Twilio
LexisNexis
Zooplus
Swisscom
Web.com

Reconhecimentos

(VDP)

Lista de empresas nas quais identifiquei, explorei e reportei vulnerabilidades, recebendo, por consequência, reconhecimento por parte das mesmas.

Oracle
Citizens Bank
T. Reuters
Pizza Hut
KFC
City of LAS
LATAM Airlines
ABB
Adobe
Allianz
State California
Cengage
D. of Labor
Deutsche Bank
Disney
US Enviromental
Expedia Group
Ford
Fossil
D. Homeland
Honda
Mars
M&T Bank
Regions Bank

Meus Serviços

Code Review

A atividade de Security Code Review, ou Revisão de Código de Segurança, tem como objetivo identificar vulnerabilidades de segurança no código-fonte de aplicativos e sistemas antes que eles sejam implantados ou atualizados em ambientes de produção. Esse processo meticuloso é fundamental para garantir que o software seja robusto, seguro e confiável.

Contato

Penetration Testing (Pentest)

O propósito central de um Penetration Testing (Pentest) reside em detectar e explorar vulnerabilidades de segurança presentes em sistemas, redes, sites e aplicativos. Essa avaliação meticulosa visa avaliar a resistência desses componentes a ataques oriundos tanto de fontes externas quanto internas. O objetivo é, através da identificação dessas falhas, implementar as correções necessárias para fortalecer a segurança, mitigando assim o risco de potenciais incursões maliciosas.

Contato

Simulações de Phishing

O objetivo das simulações de phishing em um contexto empresarial é educar e conscientizar os colaboradores sobre as táticas usadas em ataques de phishing, aprimorando suas habilidades para reconhecer e responder a essas ameaças de forma segura.

Contato