Von Scratch zu Quellcode: Microsoft ehrt jungen Sicherheitsforscher
Microsoft ehrt einen Teenager, der mit 13 Jahren Teams hackte, mit einem Blogbeitrag über seinen Lebensweg. Darin wird beschrieben, wie der mittlerweile 17-jährige Dylan eine Schwachstelle in Microsoft Teams entdeckte und damit unter anderem eine Änderung der Richtlinien für die Zahlung von Prämien für gemeldete Schwachstellen (Bug-Bounty-Regelungen) des Konzerns auslöste.
Dem Blogbeitrag des Konzerns(öffnet im neuen Fenster) zufolge experimentierte er schon im Kindesalter mit Scratch, einer Programmiersprache für einfache Spiele und Animationen. Er wechselte bald zu HTML und beschäftigte sich in der fünften Klasse mit dem Quellcode von Bildungsplattformen.
Eines seiner Experimente brachte ihm Ärger ein, weil er in einem Programm der Schule Spiele freischaltete, bevor die dafür notwendigen Lektionen beendet wurden.
Erster Kontakt mit dem Microsoft Security Response Center
Als Dylans Schule während der Covid-19-Pandemie für Schüler die Funktion von Microsoft Teams deaktivierte, Termine für Meetings zu erstellen, fand er einen Weg, dies mithilfe von Outlook zu umgehen. Seine Intention war, mit Klassenkameraden in Verbindung zu bleiben.
Als seine Schule auch diese von Schülern erstellten Termine deaktivierte, befasste er sich mit der Wiederherstellung von Kommunikationsoptionen und beschäftigte sich mehr und mehr mit der Sicherheit des Systems.
Nach neun Monaten entdeckte er eine Schwachstelle, die es ihm erlaubte, Teams-Gruppen zu übernehmen. Statt dies für sich zu behalten, entschied sich Dylan, Kontakt zum Microsoft Security Response Center (MSRC) aufzunehmen und die Lücke zu melden.
Bedingungen für Bug-Bounty-Programm geändert
Sein damaliges Alter von nur 13 Jahren führte außerdem dazu, dass Microsofts Bug-Bounty-Team die Teilnahmebedingungen für das Schwachstellenprogramm aktualisierte, um die Teilnahme für Personen ab 13 Jahren zu ermöglichen.
Besonders gelobt wird Dylans Umgang mit Widerständen, auf die er beim MSRC traf. So meldete er zum Beispiel eine Schwachstelle im Microsoft Authenticator Broker. Das MSRC lehnte die Annahme der Meldung zunächst ab und erklärte, die Schwachstelle liege außerhalb der Bedingungen für das Bug-Bounty-Programm.
Durch seine respektvolle Art und dem gleichzeitigen Willen, sich nicht zurückweisen zu lassen, half Dylan in Gesprächen, die Auswirkungen der von ihm gemeldeten Schwachstelle zu verstehen, wodurch diese nicht nur anerkannt, sondern das Bug-Bounty-Programm auch um die Kategorie eines solchen Problems erweitert wurde.
In den Jahren 2022 und 2024 wurde Dylan von Microsoft in der Liste der wertvollsten Forscher des MSRC aufgeführt. Im April 2025 erreichte er beim Hacking-Event Microsoft Zero Day Quest den dritten Platz, was ihn laut Microsoft zu einem der besten Sicherheitsforscher der Welt macht.