Програму Microsoft Teams зламав 13-річний підліток

Підліток у 13 років знайшов критичну уразливість у Microsoft Teams. Його знахідка змусила техногіганта Microsoft змінити правила своєї баг-баунті програми, щоб дозволити участь дослідникам віком від 13 років.

Захоплення програмуванням у Ділана розпочалося ще у молодшій школі із платформи Scratch, далі — HTML та інші мови. Ще у п’ятому класі він аналізував код навчальних платформ і тестував їхні межі — один із таких експериментів навіть призвів до дисциплінарного стягнення у школі, коли він зміг розблокувати ігри без проходження уроків.

Під час локдауну, коли його школа заблокувала можливість створювати зустрічі у Microsoft Teams, Ділан знайшов обхід через Outlook — Microsoft згодом зазначила, що це допомогло учням залишатися на зв’язку. Пізніше, коли заблокували та чати, хлопець за дев’ять місяців самостійно опанував основи дослідження безпеки й виявив критичну вразливість, яка дозволяла повний контроль над групами в Teams. Вразливість він відповідально розкрив Microsoft.

Після цього компанія змінила правила своєї баг-баунті програми, допустивши дослідників від 13 років, і Ділан став одним із найцінніших незалежних партнерів Microsoft. Одним із найвагоміших його відкриттів стала уразливість в Authenticator Broker, яку спочатку не розглядали, але згодом прийняли після технічного пояснення Ділана. За його внесок хлопця двічі включили до списку найкращих дослідників MSRC, а у квітні 2025 року він посів третє місце у конкурсі Zero Day Quest у Редмонді.

Прим. ред.:

Програма Bug Bounty — програма, яку пропонують багато вебсайтів та розробників програмного забезпечення, за допомогою якої люди можуть отримати визнання і винагороду за находження помилок, особливо тих, які стосуються експлойтів і вразливостей. Це дозволяє розробникам усунути помилки, перш ніж широка громадськість і хакери дізнаються про них, запобігаючи випадкам масових зловживань.