隐藏天赋

• 曾是多年的竞技游泳选手
• 天生适合键盘的手指（但曾吹奏小号）
• 终身必备的五部娱乐作品：《办公室》、《世界大战Z》、《黑客帝国》、《绝命毒师》、《幕后危机》
• 最爱的非营利组织：RSPCA（英国防止虐待动物协会）
• 喝茶方式：用嘴喝
• 超能力：从不会宿醉

关于Callum Carney的第一件事是：他不喜欢谈论自己。害羞？不一定。机智风趣？确实。但最能体现Callum的是他的行动而非言语。年仅23岁的他已是崭露头角的安全研究天才，年轻时就在微软、Spotify和谷歌等机构成功发现了大量漏洞。尽管从不自夸，Callum在云安全保护方面做出了巨大贡献，并迅速赢得了声誉和诸多荣誉。

Callum从小就对计算机充满好奇，直到他的Habbo账号被黑，硬币被盗。虽然恼火，但他更好奇这是如何发生的（他完全承认这是自己的错，因为密码是Callum123）。这粒不公正的种子随着他对计算机热情的扩展而萌芽。在学校期间，他回忆花在修理别人电脑上的时间比在教室学习还多。

早期，他偶然看到一个演示跨站脚本（XSS）的直播，激起了他的兴趣。当屏幕上弹出“你被黑了！！！”的警报时，他的黑客梦想变成了现实。

从那一刻起我就上瘾了。我从未真正摆脱过这种兴奋感。安全研究是令人上瘾的。

一次在大学计算机课上，Callum在课程期间摆弄他的笔记本电脑。无聊但依旧好奇，他开始尝试黑客课程网站的域名，最终发现了一个严重漏洞，并以匿名方式报告，希望避免未来的尴尬遭遇。然而，他忘记更新共享URL，结果暴露了自己是学院的学生。那时他只有16岁。正如他所说，刚开始时难免会犯小错误，对吧？他不知情的是，托管受影响网站的公司是学院的一个子公司。他们的团队回复要求会面讨论他的发现。经过深思熟虑（甚至与母亲商量）和对严重后果的恐惧，他接受了会面。幸运的是，他没有被捕（在英国，道德黑客仍是一个灰色地带）。相反，公司有远见地冒险，为他提供了一个职位，Callum至今已在该团队工作了六年！

当他不做日常工作时，Callum兼职做安全研究员。这正是他的工作自我证明的地方。作为多年的微软最有价值研究员（MVR），Callum的声誉不容忽视。尽管他最初没有打算为大科技公司寻找漏洞，但他对自己的影响感到自豪。

我把整个社区和这个领域视为最后一道防线。大公司内部有很多流程和聪明人开发它们。我们的任务是检查并确保没有遗漏。这是我们的工作。我视其为网络安全的最后一道防线。

在指导下一代研究人员方面，Callum坚信这个领域适合任何人，而且现在就是加入行动的最佳时机。

学习安全的资源数量一直在增长。在我看来，通过阅读先前披露的问题并在现实世界中动手应用，通过在有明确安全政策的组织中找到漏洞来报告，是很好的学习方式。

Callum强调，如果一开始不成功，不要气馁。相反，他建议，无论你测试什么，都是人做的，而人都会犯错。继续推进，但不要过度劳累。他最喜欢发现的漏洞是那些普通用户毫无察觉的。比如他小时候玩Habbo时硬币被盗的例子。他希望能成为那个发现可以偷窃他人、修复它，而用户甚至不知道存在威胁的人。同样的概念适用于他更大的漏洞赏金。

停止怀疑你在做什么或找理由不做某事。试一试。

尽管不喜欢过多谈论自己，但他相当机智，反应迅速，这展现了他内心深处的一种可爱品质。 fellow researcher Wouter（@wtm_offensi）很乐意告诉我们他对Callum的看法。“Callum和我大约四年前第一次见面。那是在一个仅限邀请的漏洞赏金活动中，他做了一个令人印象深刻的演讲，分享了他的一些漏洞狩猎发现和经验。在那次活动及随后的几年活动中，我了解到Callum是一个年轻但熟练的研究员，不仅很有趣（谁不喜欢英式幽默），而且知道何时努力工作以交付高影响力的漏洞来完成工作。在一次未公开的黑客活动中合作并分享见解后，我们保持在线联系，分享一些发现的想法。与其他研究人员分享信息并不总是最容易的事，因为我们大多数人依赖漏洞作为（主要）收入来源，但Callum总是愿意作为陪练伙伴帮助思考。如今我们偶尔在Azure相关研究上合作，互相帮助，使漏洞狩猎更有趣。Callum似乎总能找到令人兴奋的目标，例如潜在目标。我是他本人及其工作的忠实粉丝。”

像WTM一样，我们是Callum（@callum_infosec）的超级粉丝，我们无法感谢他 enough 为他的惊人研究和与MSRC的合作！感谢您的贡献，帮助保护微软客户。