12月7日消息，據路透社報道，三名知情人士透露，佛羅里達一名20歲的男子應該對去年Uber大規模用戶數據被盜事件負責，然而Uber沒有將其揭發，而是通過所謂的“漏洞賞金”程序，向這名黑客支付了巨額金錢，條件是將這些被泄的數據銷毀。

今年11月21日，Uber宣布公司在去年10月份，有5700萬名乘客和60萬名司機的個人數據被盜，并向黑客支付了10萬美元，以銷毀這些信息。但Uber并沒有透露有關黑客的任何信息，也沒有透露這筆錢是如何支付給他。

這些知情人士說，Uber去年通過一項旨在獎勵那些報告公司軟件缺陷的項目，向這名黑客付錢。Uber的“漏洞賞金”是由一家名為HackerOne的公司主辦，后者還為許多科技公司提供服務。

Uber新上任的首席執行官Dara Khosrowshahi上月宣布公司違規時，還解雇了兩名公司高級安全官員，稱這一事件在去前發生的時候，就應當向監管機構披露。

目前尚不清楚究竟是誰批準向黑客支付該款項，并將其保密。不過消息人士說，當時的首席執行官特拉維斯·卡蘭尼克（Travis Kalanick）在去年11月知道這一漏洞和以及“漏洞賞金”事件。

漏洞賞金高達10萬美元太不尋常

一位前HackerOne高管表示，漏洞賞金達到10萬美元是極不尋常的，這是個“空前的記錄”。安全專家說，獎勵那些盜竊數據的黑客，也會遠遠超出賞金計劃的正常規則，因為解決這種事，通常都是5000美元到1萬美元之間。

HackerOne為Uber提供漏洞賞金計劃，但沒有管理它。在決定支付金額是否合適，以及金額數量時，他們不能發揮任何作用。

HackerOne首席執行官Marten Mickos說，他不能討論自己客戶的項目。

他說:“每當HackerOne處理一個漏洞賞金時，我們會在發出獎金之前，會收到以IRS W- 9或W-8BEN本表格的形式發來的收件人信息。”他指的是美國國稅局的表格。

據兩名知情人士透露，Uber支付了這筆錢，以確認黑客身份，并讓他簽署了一份保密協議，以阻止其進一步的不法行為。

消息人士稱，Uber還對黑客使用的計算機進行專業鑒定，以確保數據被清除。

一名消息人士稱，這名黑客“與他的母親住在一個小房子里，試圖幫助支付賬單”，并補充說，Uber安全團隊成員并不想起訴一個似乎不能構成進一步威脅的人。

這名20歲的弗羅里達州的黑客還向第二個人支付了一筆費用，是后者幫助其訪問GitHub網站。GitHub是一個被程序員廣泛使用的網站，用來存儲他們的代碼，以獲取訪問Uber存放在其他地方的數據。

GitHub說，Uber此次被黑并不涉及安全系統的失敗。“我們的建議是，不要在代碼中存儲訪問令牌、密碼或其他身份驗證或加密密鑰，”該公司在一份聲明中說。

本月初，Uber三名高級安全經理從公司辭職。Pooja Ashok是三名辭職人之一，他曾首席安全官Joe Sullivan的幕僚長。在此之前，Joe Sullivan被公司解雇，原因是他試圖掩蓋導致5700萬名乘客和600名司機個人信息被盜的安全漏洞。