Самый опасный враг Microsoft носит школьную форму и играет на виолончели

В мире кибербезопасности обычно доминируют взрослые эксперты с многолетним опытом. Но иногда самые неожиданные открытия делают те, кому еще не исполнилось и 18 лет.

Дилан стал самым молодым исследователем безопасности в истории Microsoft Security Response Center. В 13 лет он не только обнаружил серьезную уязвимость в корпоративных системах, но и заставил технологического гиганта пересмотреть правила своей программы поиска багов.

Увлечение технологиями началось с детского языка программирования Scratch, предназначенного для создания простых игр и анимации. Но для Дилана это было лишь отправной точкой большого путешествия. Вскоре он освоил HTML и различные языки программирования, а к пятому классу уже анализировал исходный код образовательных платформ.

Попытка обойти образовательную программу и получить доступ к играм без выполнения заданий привела к неприятностям в школе, но пробудила интерес к тому, как работают системы. Любопытство только усилилось во время пандемии COVID-19, когда школа отключила доступ учеников к созданию встреч в Teams. Дилан нашел обходной путь через Outlook. Цель была благородной — помочь одноклассникам оставаться на связи в период изоляции. Это стало первым проблеском будущего специалиста по решению сложных задач.

Когда школа заблокировала и студенческие чаты в Teams , подросток не сдался, а проявил креативность. Девять месяцев самообучения, экспериментов и проб привели к открытию уязвимости, позволявшей захватывать контроль над любой группой Teams. Это открытие стало входным билетом в мир ответственного раскрытия информации.

Microsoft отреагировала неожиданно. Команда Bug Bounty обновила условия программы, снизив минимальный возраст участников до 13 лет специально для таких случаев. С тех пор Дилан тесно сотрудничает с MSRC, демонстрируя технические знания и профессионализм, превосходящие его возраст.

Коммуникативные навыки юного исследователя впечатляют не меньше технических. Он умеет вежливо отстаивать свою позицию при несогласии с первоначальными оценками MSRC, всегда стремясь понять чужую точку зрения и четко изложить собственную. Такой подход принес ему уважение и помог добиться значимых результатов.

Показательный пример — уязвимость в службе Authenticator Broker, изначально считавшаяся выходящей за рамки программы. Благодаря конструктивному диалогу Дилан помог команде понять более широкие последствия проблемы. Результат превзошел ожидания: Microsoft не только признала проблему, но и расширила scope программы для будущих отчетов.

Путь не был усыпан розами. Дилан сталкивался с непониманием отчетов и неудачами, но поддержка семьи — особенно родителей, дедушек и бабушек — помогала сохранять спокойствие и профессионализм. Во время пандемии он потерял голос из-за проблем со здоровьем и перенес две операции, что только укрепило решимость.

Сейчас Дилан учится в старших классах и совмещает учебу с участием в научных олимпиадах, математических соревнованиях, плаванием, велоспортом и игрой на виолончели. Прошлым летом подал 20 отчетов об уязвимостях — резкий рост с предыдущих шести за все время. Дважды входил в список самых ценных исследователей MSRC в 2022 и 2024 годах, а в апреле 2025 года занял третье место на Zero Day Quest — престижном хакерском соревновании в штаб-квартире Microsoft.