人物介绍

　　Thomas DeVoss（@dawgyg），昵称 Tommy，现为 Synack Red Team 安全工程师兼自由 Bug Bounty Hunter，Nissan 天际线跑车（Skyline）收藏发烧友，也是 Yahoo、Mail.Ru、Mapbox、Imgur、GM、Adobe、AOL 等多家知名公司的多个重要漏洞发现者。

　　Tommy 一直都是 HackerOne、Bugcrowd 和 Synack 众测平台的高产白帽，能在短时间内发现多个严重漏洞，曾入选多家知名厂商漏洞测试名人堂，是 2017 年 HackerOne Top 25 黑客之一。Tommy 现在 HackerOne 的有效发现漏洞为 387 个，排名第 24 位。本本期视频我们跟随彭博科技频道（Bloomberg Technology）记者来感受一下 Thomas DeVoss 的珍藏跑车、丰厚赏金和可爱女儿。

　　青年时期的 Tommy 作为美国黑客团体 World of Hell 的组织者，因入侵美国军方和政府电脑两次被捕成为重罪犯，后在 2005 年被判两年半监禁。出狱之后，如 Tommy 再用电脑犯法，将会被终身监禁。之后，Tommy 从小公司的底层系统管理员做起，不断学习安全技术，并尝试开展漏洞众测项目（Bug Bounty），利用黑客技术以合法方式挖洞赚钱。去年 3 月，Tommy 跻身 HackerOne 的六位百万美元白帽黑客行列。

　　采访中，Tommy 透露是女儿给了他无穷的动力，因为热爱安全，他还将继续在这条路上走下去。

“我余生中最重要的就是，和女儿在一起了，除此之外没什么是我认为值得的，女儿是我在这个世界上最重要的人，她无比重要。” 

　　视频地址：https://www.bilibili.com/video/BV1Ui4y1b7rF?zw

　　采访实录

　　“有人认为你做这行是在干坏事吗？”

有的，有人就曾这样问我：“我怀疑我男友在欺骗我的感情，请你帮我把他的手机黑了，我想看他在搞什么。“

　　“你通过漏洞测试获得的最大一笔赏金有多少？”

单个漏洞两万美金吧。

　　“赚的最多的一天是？”

去年十月的某天赚了 16 万美金，我记得当时只花了大概 3 到 4 小时的实际工作时间。

　　“所以如果平均算下来你一周正常的这种测试工作时间是多少小时？” 

五到十小时。

　　“那去年你一共赚的漏洞赏金有多少？”  

算过去的一年，应该是 63 万 6 千美元。

　　“那你认为是什么让你如此擅长做这种安全测试？”   

因为我一直以来都在做这行。我们当时黑进了 NASA 的电脑，黑进了美国法院和能源部的电脑系统，按理说这些政府部门有充足的财政预算，其信息系统应该非常安全，但并不是这样。

　　*本课程翻译自 Youtube 精选系列教程，喜欢的点一波关注（每周更新）！

　　* 本文视频编辑 willhuang，由 clouds 编译，FreeBuf 视频组荣誉出品，转载须注明来自 FreeBuf.COM