13-ամյա տղան կոտրել է Microsoft Teams -ը՝ ընկերությանը ստիպելով վերանայելու իր անվտանգության ծրագրի կանոնները

Խոցելիության հետազոտական ծրագրերը գրավում են ամենահմուտ կիբեռանվտանգության ոլորտի ինժեներներին։ Սակայն ավագ դպրոցի աշակերտ Դիլանն այդ աշխարհ է մուտք գործել ընդամենը 13 տարեկանում։ Նրա առաջին խոշոր հայտնագործությունը՝ Microsoft Teams-ի կրիտիկական խոցելիությունը, նրան բերեց ոչ միայն գովասանք, գրում է Interesting Engineering-ը։
Դա Microsoft ընկերևությանը ստիպել է վերաշարադրել իր սխալների հայտնաբերման պարգևատրման ծրագրի կանոնները՝ ներառելով դեռահաս հետազոտողներին։
Ընդամենը 17 տարեկան հասակում Դիլանը դարձել է Microsoft-ի ամենաարժեքավոր անկախ աշխատակիցներից մեկը՝ տասնյակ սխալների մասին հաղորդագրություններով և համաշխարհային անվտանգության համայնքում աճող ներկայությամբ։ Դիլանի հետաքրքրությունը համակարգիչների նկատմամբ սկսվել է վաղուց։
5-րդ դասարանում նա արդեն վերլուծում էր կրթական հարթակների սկզբնական կոդը և փորձարկում դրանց սահմանափակումները։ Այդպիսի մի փորձություն՝ դասերն ավարտելուց առաջ խաղերի ապաարգելափակումը, հանգեցրեց դպրոցում կարգապահական պատասխանատվության։ ՔՈՎԻԴ-19-ի պատճառով ստեղծված կարանտինի ժամանակ, երբ նրա դպրոցն աշակերտներին արգելել էր Microsoft Teams-ում հանդիպումներ կազմակերպել, Դիլանը Outlook-ի օգնությամբ շրջանցիկ ուղի էր գտել:
Նա խորացավ կիբեռանվտանգության մեջ, երբ ուսանողների ստեղծած Teams չաթերը նույնպես արգելափակվեցին։ Հաջորդ ինը ամիսների ընթացքում նա սովորել էր անվտանգության հետազոտությունների հիմունքները և, ի վերջո, հայտնաբերել մի կարևոր թերություն, որը հնարավորություն տվեց լիակատար վերահսկողություն սահմանել Teams խմբերի նկատմամբ։ Նա խոցելիության մասին հայտնել է Microsoft-ին։ Դիլանի զեկույցը լավ էր ընդունվել։
Microsoft-ը թարմացրեց իր «Սխալների համար պարգևատրման» (Bug Bounty) ծրագիրը՝ 13 տարեկան և ավելի մեծ տարիքի հետազոտողներին թույլ տալով մասնակցել նրա ներդրումների անմիջական արդյունքում։
Նա շարունակեց հրապարակել զեկույցներ և շուտով MSRC-ի հետ աշխատանքային հարաբերություններ հաստատեց։ Նրա ամենատպավորիչ հայտնագործություններից մեկը վերաբերում էր Authenticator բորսային ծառայությանը։
Սկզբում խոցելիությունը համարվում էր չթարմացված, սակայն ավելի ուշ այն ճանաչվեց Դիլանի մանրամասն տեխնիկական բացատրությունից հետո։
Դիլանի աշխատանքը նրան տեղեր է ապահովել MSRC-ի ամենաարժեքավոր հետազոտողների ցանկում 2022 և 2024 թվականներին: 2025 թվականի ապրիլին Դիլանը զբաղեցրել է երրորդ տեղը Microsoft Zero Day Quest-ում՝ Վաշինգտոն նահանգի Ռեդմոնդ քաղաքում անցկացված հաքերային մրցութային միջոցառմանը:
Անցյալ ամռանը նա 20 խոցելիության մասին հաշվետվություն է ներկայացրել, ինչը զգալիորեն ավելի շատ է, քան նախկինում։