Bug bounty programi privlače neke od najvještijih stručnjaka u kibernetičkoj sigurnosti. Riječ je o profesionalcima koji seciraju kompleksan softver u potrazi za sigurnosnim propustima – nekad zbog priznanja, nekad zbog visokih nagrada.
Ali Dylan, srednjoškolac iz SAD-a, u taj je svijet ušao s tek 13 godina. Njegovo prvo ozbiljno otkriće, kritična ranjivost u Microsoft Teamsu, nije mu donijelo samo pohvale – natjeralo je Microsoft da promijeni pravila svog programa kako bi tinejdžeri mogli sudjelovati.
Danas, s 17 godina, Dylan je jedan od najvažnijih neovisnih suradnika Microsofta, s desecima prijavljenih sigurnosnih rupa i sve većim ugledom u globalnoj zajednici stručnjaka.
Njegovo zanimanje za tehnologiju počelo je rano. Prvo je učio programirati pomoću dječje platforme Scratch, a zatim je prešao na HTML i klasične programske jezike. Već u petom razredu proučavao je izvorni kod školskih platformi i testirao njihove granice. Jedan takav test, kojim je otključavao igre bez završetka lekcija, doveo je do disciplinske mjere – ali i do prvih ozbiljnijih interesa za sigurnosne propuste.
Tijekom pandemije, kad je škola onemogućila učenicima da stvaraju Teams sastanke, pronašao je rupu koristeći Outlook. Iako je tehnički zaobišao ograničenje, Microsoft je to kasnije nazvao “pomoći prijateljima da ostanu povezani u teškom periodu”.
Ozbiljniji ulazak u svijet sigurnosti dogodio se kad je škola blokirala i Teams razgovore. Sljedećih devet mjeseci učio je sam, istraživao, testirao i na kraju pronašao propust koji je omogućavao preuzimanje kontrole nad Teams grupama. Propust je prijavio Microsoftu, koji ga je prihvatio i ubrzo ažurirao pravila – sada su čak i 13-godišnjaci mogli sudjelovati u njihovom programu nagrađivanja.
Jedan od zapaženijih trenutaka bio je prijava propusta u Authenticator Broker servisu. Iako isprva odbijena jer je bila “izvan okvira”, Dylan je uporno objasnio tehničke detalje i Microsoft je na kraju prihvatio prijavu. Ne samo to – proširili su i kriterije za buduće prijave, što se izravno veže uz njegov rad.
Dylan je uvršten među Najvrjednije istraživače 2022. i 2024., a u travnju 2025. osvojio je treće mjesto na Microsoftovom natjecanju Zero Day Quest u Redmondu.
Iza uspjeha nisu stajali samo bugovi i pohvale. Tijekom pandemije prošao je kroz ozbiljan zdravstveni problem, izgubio glas i prošao dvije operacije. Uz to, bilo je i nerazumijevanja oko prijava i neslaganja s procjenama. Ipak, uz podršku roditelja i obitelji, nastavio je dalje. Samo prošlog ljeta prijavio je 20 ranjivosti – višestruko više nego prije.
Danas kibernetičku sigurnost vidi kao izazovan i ispunjavajuć hobi. Otvoren je za budućnost u tehnologiji, znanosti ili javnoj službi. Planira ići na prva međunarodna konferencijska okupljanja čim postane punoljetan – kako bi se, napokon, upoznao s ljudima s druge strane zaslona.
