É raro alguém prestar atenção à seção de agradecimentos de uma divulgação de vulnerabilidade.
Mas, para quem descobre o bug, isso geralmente representa o resultado de horas de trabalho, tentativa e erro, busca por reconhecimento e, finalmente, ver a vulnerabilidade ser corrigida. Os caçadores de bugs estão prestando um grande serviço a todos nós quando divulgam uma vulnerabilidade de forma responsável ao fornecedor.
Esta semana conversamos com Khaled Mohamed, o caçador de recompensas por falhas de segurança que descobriu a CVE-2026-26123, uma vulnerabilidade no Microsoft Authenticator para iOS Android, na qual, em alguns casos, outro aplicativo no seu celular poderia roubar ou usar indevidamente seus códigos de login.
P: Conte-nos um pouco sobre você. Como você acabou entrando na área de segurança cibernética?
R: Sou Khaled Mohamed, engenheiro de segurança de 23 anos e fundador da SecBound— uma startup de segurança cibernética especializada em testes de penetração. Nosso objetivo na SecBound é oferecer serviços de testes convenientes, ágeis e acessíveis que abordem as questões de segurança que realmente importam para nossos clientes.
Além de administrar o SecBound, trabalho em tempo integral como engenheiro de segurança e também sou um caçador de bugs ativo. Fui incluído no Hall da Fama de várias grandes empresas, incluindo Google, GitHub, LinkedIn, Mastercard, Starbucks e Vimeo. Acho incrivelmente gratificante identificar problemas de segurança significativos para algumas das organizações mais renomadas do mundo. É uma sensação incrível corrigir uma vulnerabilidade que poderia ter afetado gravemente inúmeros usuários.
Minha trajetória na área de segurança cibernética começou de uma forma difícil e pouco convencional.
Eu era aquele garoto que adorava explorar e quebrar coisas. Com o tempo, virei um “script kiddie”. Ainda me lembro da emoção de derrubar a rede Wi-Fi do meu vizinho com um script simples e achar que dominava o mundo.
A partir daí, comecei a aprender sobre segurança cibernética, especialmente segurança na web — como os sites podem ser invadidos e como protegê-los.
Quando eu tinha 15 anos, recebi meu primeiro projeto como freelancer: testes de penetração em aplicativos web. Não consegui encontrar nenhuma vulnerabilidade real, mas essa experiência foi um divisor de águas. Ela me motivou a descobrir a verdadeira ciência por trás da segurança cibernética. Passei a cursar Ciência da Computação e continuo aprendendo todos os dias. É um aprendizado sem fim.
Acho que muitas pessoas nesta área têm uma história semelhante. No fundo, é a curiosidade que nos faz seguir em frente.
P: Você se propôs a encontrar uma vulnerabilidade no Authenticator, ou algo incomum chamou sua atenção?
R: Como mencionei anteriormente, sou um caçador de recompensas de bugs, embora não estivesse focando especificamente no Microsoft Authenticator naquele momento. Por acaso, notei algo incomum na forma como o aplicativo lidava com links diretos e fluxos de login em dispositivos móveis. Quando você toca em um link de login ou escaneia um código QR, o sistema operacional solicita que você “Abra o link”.
Isso despertou minha curiosidade. O que aconteceria se outro aplicativo interceptasse essa ação? Quanto mais eu investigava e fazia testes, mais claro ficava que havia um problema de segurança real. Seguir essa pista acabou me levando a descobrir e relatar o CVE-2026-26123.
P: O que mais te surpreendeu em relação à vulnerabilidade do Authenticator?
R: A vulnerabilidade CVE-2026-26123 poderia levar à apropriação total de uma conta de uma forma surpreendentemente simples. Se um aplicativo malicioso fosse instalado no dispositivo e o usuário escaneasse um código QR de login usando o leitor integrado do telefone, sua conta poderia ser efetivamente comprometida. Mesmo proteções avançadas, como a autenticação de dois fatores (2FA), poderiam ser contornadas, deixando todas as contas da Microsoft associadas completamente comprometidas.
O potencial impacto na prática sobre a autenticação multifatorial e os fluxos de login sem senha foi significativo, e isso realmente me surpreendeu.
P: Que conselho você daria a aspirantes a caçadores de bugs ou a qualquer pessoa que esteja começando na área de segurança cibernética?
R: Pense sempre como um invasor e treine sua mentalidade para identificar o impacto potencial por trás de cada ação. Seu conhecimento técnico é apenas uma ferramenta: use-o para alcançar o impacto que você imaginou.
Teste tudo por conta própria. Não presuma que algo é seguro só porque outras pessoas já o testaram antes. Pense cuidadosamente sobre como as coisas ainda podem estar vulneráveis e, em seguida, procure comprovar ou refutar suas suposições por meio de testes práticos.
P: Qual você acha que é o erro mais comum cometido na área de segurança cibernética?
R: Um dos erros mais comuns — e mais perigosos — em segurança cibernética é subestimar o nível real de ameaça. Muitas organizações ainda acreditam que os ataques cibernéticos são eventos raros ou que os invasores têm como alvo principal grandes corporações de renome. Na realidade, qualquer empresa, independentemente do tamanho ou da reputação, pode se tornar um alvo.
P: Há mais alguma coisa que você gostaria de compartilhar com nosso público?
R: Quero que as pessoas saibam que a divulgação responsável funciona. A Microsoft respondeu por meio do seu programa de Divulgação Coordenada de Vulnerabilidades, e a correção foi lançada como parte da atualização de segurança de 10 de março de 2026, o que significa que os usuários agora estão protegidos.
Esse processo — em que um pesquisador descobre um problema, o comunica de forma responsável e o fornecedor o corrige — é o que mantém todo o ecossistema mais seguro ao longo do tempo. Se você encontrar uma vulnerabilidade, comunique-a. Não a guarde para si.
Gostaríamos de agradecer a Khaled Mohamed pelo tempo que nos dedicou e desejar-lhe tudo de bom em seus projetos futuros.
Não nos limitamos a informar sobre segurança telefônica - nós a fornecemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos móveis fazendo o download Malwarebytes para iOS e Malwarebytes para Android hoje mesmo.
