Von einem produktiven Cyberkriminellen zu einem der reichsten ethischen „Kopfgeldjäger“ der Welt; Ein White-Hat-Hacker hat die Geschichte seiner Verwandlung in einem exklusiven Interview mit MailOnline erzählt.
Tommy DeVoss – bekannt als „Dawgyg“ – hat mehr als 2 Millionen US-Dollar (1,6 Millionen Pfund) eingesammelt, indem er Tausende großer Namen für Bargeld ausgenutzt hat, darunter Yahoo, X (ehemals Twitter), Uber und sogar die US-Regierung.
Dies ist Websites wie HackerOne zu verdanken, die es ethischen Hackern ermöglichen, ihre Fähigkeiten zum Wohle der Allgemeinheit einzusetzen, indem sie Schwachstellen in Computersystemen melden, um die Cybersicherheit zu stärken.
Tommy erhielt sogar eine unglaubliche Auszahlung von 180.000 US-Dollar (147.000 Pfund) an einem Tag für seine Hilfe bei Yahoo und gehört zu den wenigen Hackern, die mit der Website 2 Millionen US-Dollar (1,6 Millionen Pfund) verdient haben.
Doch der 39-jährige Hacker aus Virginia, USA, war nicht immer auf der richtigen Seite der Gleise, denn wegen seines zuvor rechtswidrigen Verhaltens musste er bereits dreimal ins Bundesgefängnis.
Tommy DeVoss – oder „dawgyg“ (im Bild) – hat Tausende großer Namen gegen Bargeld ausgenutzt
„Als ich zurückblickte und dachte: „Ich bereite mich darauf vor, ins Bundesgefängnis zu gehen“, dachte ich, dass mein Leben praktisch vorbei sei“, sagte er zu MailOnline.
„Ich hatte damit gerechnet, dass ich für den Rest meines Lebens in einem Sackgassen- und bedeutungslosen Job arbeiten und kaum Geld verdienen würde. Ich hätte nie erwartet, dort zu sein, wo ich jetzt bin.
„Es ist schön zu wissen, dass ich aus einst schlechten Dingen eine gute Karriere machen konnte.“ „Es ist schön, dass ich jetzt Gutes tue und mich nicht verstecken muss.“
Tommy behauptet, er hacke seit seinem neunten Lebensjahr, nachdem er von Mitgliedern eines Chatrooms erfahren hatte, dem er völlig zufällig beigetreten war.
Da er sich der rechtlichen Grenzen zunächst nicht bewusst war, ging er in die Stadt, um mit seinem neu gewonnenen Wissen zu experimentieren.
Als Black Hat glaubt Tommy, dass er letztendlich aus Langeweile weit über 10.000 Regierungen, Militärs und Unternehmen ausgebeutet hat.
Dazu gehörten Unternehmen wie Nokia, Sony, Mercedes-Benz und sogar EA Sports, oft als Teil einer Gruppe namens World of Hell.
Einmal hat er innerhalb von fünf Minuten sogar 700 Unternehmen ausgenutzt, nachdem er bei einem Hosting-Anbieter eingebrochen war.
Aber es war dieses Verhalten, das ihm zwischen 2002 und 2010 drei Bundesgefängnisstrafen einbrachte.
Besonders hervorzuheben ist, dass er 2005 wegen Einbruchs in Computer des US-Militärs verurteilt wurde und sogar zweimal von FBI-Agenten durchsucht wurde.
„Am 12. Juni 2002 kamen sie mit voller Ladung und allem Drum und Dran vor meiner Tür“, sagte er zu MailOnline.
Tommy DeVoss erhielt sogar an einem Tag eine unglaubliche Auszahlung von 180.000 US-Dollar für seine Hilfe bei Yahoo
„Ich war nicht da – meine Schwester war da.“ Ich war auf der Arbeit, aber ich hatte den ganzen Tag versucht, freizukommen, und schließlich konnte ich meinen Chef davon überzeugen, dass es mir nicht gut ging, und er ließ mich etwa um ein Uhr nachmittags gehen.
„Also fuhr ich nach Hause und als ich damals in meiner Wohnung ankam, stand kein einziges Auto auf dem Parkplatz.
„Jedes einzelne Auto war außerhalb des Parkplatzes, und es war seltsam, weil ich das noch nie gesehen hatte.“
„Und dann habe ich versucht, meine Tür aufzuschließen und zu öffnen, aber sie war mit einem Riegel verschlossen, der nur von innen aufgeschlossen werden konnte. Also fing ich an, an die Tür zu klopfen und sagte meiner Schwester, sie solle die Tür öffnen und besser nicht rauchen.
„Das nächste, was ich weiß, ist, dass die Tür aufgeht und ich eine M16 im Gesicht habe.“
Später fügte er hinzu: „Ich habe eine süchtig machende Persönlichkeit, ich habe auch ADHS, wissen Sie.“
„Es ist also das Einzige, wovon mein Verstand nie müde geworden ist, und das Gefühl, das ich bekomme, wenn ich den Virus bekomme oder in ein System einbreche oder etwas anderes, von dem ich weiß, dass es eine große Sache sein wird – der Ansturm ist nichts anderes als.“ Drogen nehmen.’
Während seiner Zeit im Gefängnis musste Tommy monatelang Einzelhaft verbringen, in der er nur alle 30 Tage einen Anruf tätigen durfte.
Erst bei seiner vierten Entlassung aus dem Gefängnis wurde Tommy klar, dass legale Bug-Bounts eine Option für ihn waren
Erst nach seiner endgültigen Freilassung erkannte Tommy, dass legales Hacken in Form von „Bug Bounties“ eine Option für ihn war.
Diese von verschiedenen Websites und Organisationen herausgegebenen Programme bieten Belohnungen für Personen, die Fehler oder Schwachstellen in Computersystemen identifizieren.
Allein im letzten Jahr zahlte Google im Rahmen seines eigenen Bug-Bounty-Programms unglaubliche 12 Millionen US-Dollar (9,8 Millionen Pfund) an Prämien an 703 bezahlte Forscher aus.
Dadurch konnte der Tech-Titan fast 3.000 Schwachstellen beheben – ein Forscher kassierte sogar 605.000 US-Dollar (494.899 £) in einer einzigen Belohnung.
„Ich habe 2013 oder 2014 von Bug Bounties gehört, aber ich dachte, das klang zu schön, um wahr zu sein, also habe ich es nicht getan“, fuhr er fort.
„Und dann, gegen Ende des Jahres 2015, sah ich auf Twitter, wie Leute über Bug Bounties schrieben.
„Also habe ich angefangen, mich damit zu beschäftigen, und festgestellt, dass es auf HackerOne ein Bug-Bounty-Programm gibt.“
HackerOne ist ein in den USA ansässiges Unternehmen, das sich darauf konzentriert, das Risiko von Sicherheitsvorfällen zu reduzieren, indem es mit der größten Community vertrauenswürdiger ethischer Hacker zusammenarbeitet.
Es beherbergt unzählige Bug-Bounty-Programme für verschiedene Organisationen sowie szenariobasierte Aktivitäten, die den Menschen beibringen, wie sie sich engagieren können.
Während Tommy jetzt als Staff Security Engineer bei Braze in den USA arbeitet, verbrachte er zuvor 10 bis 20 Stunden im Monat damit und verdiente etwa 100.000 US-Dollar (81.000 £) pro Jahr.
Mittlerweile hat er im Rahmen ethischer Programme wie diesem die US-Regierung, Yahoo, Uber und zahlreiche andere Firmen gehackt.
Da er inzwischen angestellt ist und legal Geld verdient, hat er seiner Tochter zum siebten Geburtstag einen Laptop geschenkt. Sie hofft, eines Tages auch eine White-Hat-Hackerin (oder eine Ballerina) zu werden
Tommy DeVoss (dawgyg) auf HackerOne: Aufgelistet sind die öffentlichen Kopfgeldprogramme, mit denen er interagiert hat. „Gültige/geschlossene“ Prämien sind die Anzahl der erfolgreichen Berichte, die er auf der Website eingereicht hat
Tommy fügte hinzu: „Ich habe angefangen, Yahoo zu hacken – sie haben mir im März 2016 mein erstes Kopfgeld gegeben, und dann haben sie einfach weitergemacht.“
„Mittlerweile gibt es eine ansehnliche Anzahl von uns, die davon leben, die große Mehrheit jedoch nicht.“
Tommy behauptet, dass Bug-Bouts aufgrund des zunehmenden Wettbewerbs jetzt härter werden.
Aber für diejenigen, die gerne loslegen möchten, rät er, dass Ausdauer der Schlüssel ist.
„Wenn Sie sich dafür entscheiden, können Sie nicht jemand sein, der Misserfolge nicht gut verträgt“, sagte er zu MailOnline.
„Bug-Kopfgeldjäger scheitern jedes Mal, wenn sie erfolgreich sind, 999.999 Mal.“
„Sie müssen also damit einverstanden sein, dass das meiste, was Sie tun, am Ende unbezahlt bleibt.“
Später fügte er hinzu: „Sie werden also oft scheitern, aber Sie werden ständig dazulernen. „Diese Einstellung muss man haben.“
Erst letzten Monat kaufte Tommy seiner siebenjährigen Tochter zum Geburtstag einen Laptop.
Sie möchte genau wie er eine ethische Hackerin sein.
„Sie erzählt den Leuten, dass ihr Vater ein Hacker ist“, fuhr er fort.
„Sie möchte eine Hackerin wie ich und Lehrerin werden, und sie möchte Ballerina werden, weil ihre Mutter Ballerina werden wollte.“
„Mit legalem Hacken kann man wirklich gutes Geld verdienen.“
Das FBI lehnte es ab, sich zu den Einzelheiten der Kriminalgeschichte von Tommy DeVoss zu äußern, und es wird davon ausgegangen, dass seine Aufzeichnungen 2016 vom US-Militär geschwärzt wurden.