HackerOne百万美元白帽采访:一个因入侵美国军方入狱的黑客逆袭
- 2020 年 3 月 31 日
- 筆記
人物介绍
Thomas DeVoss(@dawgyg),昵称Tommy,现为Synack Red Team安全工程师兼自由Bug Bounty Hunter,Nissan天际线跑车(Skyline)收藏发烧友,也是Yahoo、Mail.Ru、Mapbox、Imgur、GM、Adobe、AOL等多家知名公司的多个重要漏洞发现者。
Tommy一直都是HackerOne、Bugcrowd和Synack众测平台的高产白帽,能在短时间内发现多个严重漏洞,曾入选多家知名厂商漏洞测试名人堂,是2017年HackerOne Top 25黑客之一。Tommy现在HackerOne的有效发现漏洞为387个,排名第24位。本本期视频我们跟随彭博科技频道(Bloomberg Technology)记者来感受一下Thomas DeVoss的珍藏跑车、丰厚赏金和可爱女儿。
青年时期的Tommy作为美国黑客团体World of Hell的组织者,因入侵美国军方和政府电脑两次被捕成为重罪犯,后在2005年被判两年半监禁。出狱之后,如Tommy再用电脑犯法,将会被终身监禁。之后,Tommy从小公司的底层系统管理员做起,不断学习安全技术,并尝试开展漏洞众测项目(Bug Bounty),利用黑客技术以合法方式挖洞赚钱。去年3月,Tommy跻身HackerOne的六位百万美元白帽黑客行列。
采访中,Tommy透露是女儿给了他无穷的动力,因为热爱安全,他还将继续在这条路上走下去。
“我余生中最重要的就是,和女儿在一起了,除此之外没什么是我认为值得的,女儿是我在这个世界上最重要的人,她无比重要。”
观看视频
采访实录
“有人认为你做这行是在干坏事吗?”
有的,有人就曾这样问我:“我怀疑我男友在欺骗我的感情,请你帮我把他的手机黑了,我想看他在搞什么。“
“你通过漏洞测试获得的最大一笔赏金有多少?”
单个漏洞两万美金吧。
“赚的最多的一天是?”
去年十月的某天赚了16万美金,我记得当时只花了大概3到4小时的实际工作时间。
“所以如果平均算下来你一周正常的这种测试工作时间是多少小时?”
五到十小时。
“那去年你一共赚的漏洞赏金有多少?”
算过去的一年,应该是63万6千美元。
“那你认为是什么让你如此擅长做这种安全测试?”
因为我一直以来都在做这行。我们当时黑进了NASA的电脑,黑进了美国法院和能源部的电脑系统,按理说这些政府部门有充足的财政预算,其信息系统应该非常安全,但并不是这样。
*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!
*本文视频编辑willhuang,由clouds 编译,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM