13-летний подросток помог Microsoft найти и исправить серьезную уязвимость

Александр Гайдамашко

Основные тезисы

13-летний школьник нашел серьезную уязвимость в Microsoft Teams, которая позволяла захватить группы.
Microsoft изменила условия программы Bug Bounty, чтобы допустить к участию людей от 13 лет.
Он стал самым молодым исследователем компании, продолжая работать уже несколько лет.

Подросток стал самым молодым исследователем безопасности Microsoft, найдя уязвимости

Microsoft / Unsplash

Компания Microsoft, как и многие другие, работает с исследователями со всего мира – они помогают искать и исправлять уязвимости в продуктах, прежде чем их найдут и используют хакеры. И хотя обычно это взрослые и опытные программисты, в этот раз все получилось иначе: серьезный недостаток в коде одной из программ нашел 13-летний школьник.

Детали

Парень по имени Дилан с раннего возраста он овладел различными техническими инструментами: начал с Scratch, а затем перешел к HTML и другим языкам программирования, анализировал начальный код учебных платформ. Первый серьезный шаг в кибербезопасности он сделал во время пандемии, когда в школе отключили функцию создания чатов в Microsoft Teams. После девяти месяцев исследований подросток обнаружил уязвимость, которая позволяла ему захватить любую группу в Teams, сообщает 24 Канал со ссылкой на официальный блог компании, где она рассказала эту историю в деталях.

Поэтому Дилан сообщил о своем открытии в Microsoft, и компания смогла быстро исправить баг. Кроме того, она даже внесла изменения в условия своей программы Bug Bounty, допустив к участию исследователей с 13 лет, чтобы юный помощник мог получить вознаграждение за свой труд.

Он и в дальнейшем сотрудничает с Microsoft Security Response Center, находя другие уязвимости – в частности, в сервисе Authenticator Broker. Компания щедра не только на плату, но и на похвалу: среди преимуществ подростка выделяют качества эффективной коммуникации и готовность высказывать свое мнение относительно оценок выявленных багов. Став самым молодым исследователем MSRC, Дилан только за одно лето прислал 20 новых отчетов об уязвимостях, что значительно превышает его предыдущий опыт.

Коммуникативные навыки Дилана так же поражают, как и его технические. Он известен тем, что вежливо выражает свое несогласие с первоначальными оценками MSRC, всегда стремясь понять их точку зрения и четко выразить свою. Такой продуманный подход принес ему уважение и помог достичь значительных результатов,
– говорится в блоге компании.

Чтобы проиллюстрировать свои слова, Microsoft приводит пример: Дилан сообщил об уязвимости в службе Authenticator Broker, которая изначально считалась вне компетенции. Ему сначала отказали в принятии отчета, но "благодаря четкому, конструктивному диалогу он помог MSRC понять ее более широкие последствия". В результате компания не только признала проблему, но и расширила программу вознаграждений, включив новые сферы.

Сейчас парень учится в старшей школе, совмещая школьные занятия с внеклассными – в частности, изучает математические науки. Он был представлен в список самых ценных исследователей MSRC в 2022 году и в 2024 году. В 2025-м он участвовал в Microsoft Zero Day Quest – ведущем выездном мероприятии по хакерству в Редмонде. Там он занял третье место, что стало невероятным достижением, которое вывело его к лучшим исследователям в мире.