HackerOne百万美元白帽采访:一个因入侵美国军方入狱的黑客逆袭

  • 2020 年 3 月 31 日
  • 筆記

人物介绍

Thomas DeVoss(@dawgyg),昵称Tommy,现为Synack Red Team安全工程师兼自由Bug Bounty Hunter,Nissan天际线跑车(Skyline)收藏发烧友,也是Yahoo、Mail.Ru、Mapbox、Imgur、GM、Adobe、AOL等多家知名公司的多个重要漏洞发现者。

Tommy一直都是HackerOne、Bugcrowd和Synack众测平台的高产白帽,能在短时间内发现多个严重漏洞,曾入选多家知名厂商漏洞测试名人堂,是2017年HackerOne Top 25黑客之一。Tommy现在HackerOne的有效发现漏洞为387个,排名第24位。本本期视频我们跟随彭博科技频道(Bloomberg Technology)记者来感受一下Thomas DeVoss的珍藏跑车、丰厚赏金和可爱女儿。

青年时期的Tommy作为美国黑客团体World of Hell的组织者,因入侵美国军方和政府电脑两次被捕成为重罪犯,后在2005年被判两年半监禁。出狱之后,如Tommy再用电脑犯法,将会被终身监禁。之后,Tommy从小公司的底层系统管理员做起,不断学习安全技术,并尝试开展漏洞众测项目(Bug Bounty),利用黑客技术以合法方式挖洞赚钱。去年3月,Tommy跻身HackerOne的六位百万美元白帽黑客行列。

采访中,Tommy透露是女儿给了他无穷的动力,因为热爱安全,他还将继续在这条路上走下去。

“我余生中最重要的就是,和女儿在一起了,除此之外没什么是我认为值得的,女儿是我在这个世界上最重要的人,她无比重要。”

观看视频

采访实录

“有人认为你做这行是在干坏事吗?”

有的,有人就曾这样问我:“我怀疑我男友在欺骗我的感情,请你帮我把他的手机黑了,我想看他在搞什么。“

“你通过漏洞测试获得的最大一笔赏金有多少?”

单个漏洞两万美金吧。

“赚的最多的一天是?”

去年十月的某天赚了16万美金,我记得当时只花了大概3到4小时的实际工作时间。

“所以如果平均算下来你一周正常的这种测试工作时间是多少小时?”

五到十小时。

“那去年你一共赚的漏洞赏金有多少?”

算过去的一年,应该是63万6千美元。

“那你认为是什么让你如此擅长做这种安全测试?”

因为我一直以来都在做这行。我们当时黑进了NASA的电脑,黑进了美国法院和能源部的电脑系统,按理说这些政府部门有充足的财政预算,其信息系统应该非常安全,但并不是这样。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM