12月7日消息，据路透社报道，三名知情人士透露，佛罗里达一名20岁的男子应该对去年Uber大规模用户数据被盗事件负责，然而Uber没有将其揭发，而是通过所谓的“漏洞赏金”程序，向这名黑客支付了巨额金钱，条件是将这些被泄的数据销毁。

今年11月21日，Uber宣布公司在去年10月份，有5700万名乘客和60万名司机的个人数据被盗，并向黑客支付了10万美元，以销毁这些信息。但Uber并没有透露有关黑客的任何信息，也没有透露这笔钱是如何支付给他。

这些知情人士说，Uber去年通过一项旨在奖励那些报告公司软件缺陷的项目，向这名黑客付钱。Uber的“漏洞赏金”是由一家名为HackerOne的公司主办，后者还为许多科技公司提供服务。

Uber新上任的首席执行官Dara Khosrowshahi上月宣布公司违规时，还解雇了两名公司高级安全官员，称这一事件在去前发生的时候，就应当向监管机构披露。

目前尚不清楚究竟是谁批准向黑客支付该款项，并将其保密。不过消息人士说，当时的首席执行官特拉维斯·卡兰尼克(Travis Kalanick)在去年11月知道这一漏洞和以及“漏洞赏金”事件。

漏洞赏金

一位前HackerOne高管表示，漏洞赏金达到10万美元是极不寻常的，这是个“空前的记录”。安全专家说，奖励那些盗窃数据的黑客，也会远远超出赏金计划的正常规则，因为解决这种事，通常都是5000美元到1万美元之间。

HackerOne为Uber提供漏洞赏金计划，但没有管理它。在决定支付金额是否合适，以及金额数量时，他们不能发挥任何作用。

HackerOne首席执行官Marten Mickos说，他不能讨论自己客户的项目。

他说:“每当HackerOne处理一个漏洞赏金时，我们会在发出奖金之前，会收到以IRS W- 9或W-8BEN本表格的形式发来的收件人信息。”他指的是美国国税局的表格。

据两名知情人士透露，Uber支付了这笔钱，以确认黑客身份，并让他签署了一份保密协议，以阻止其进一步的不法行为。

消息人士称，Uber还对黑客使用的计算机进行专业鉴定，以确保数据被清除。

一名消息人士称，这名黑客“与他的母亲住在一个小房子里，试图帮助支付账单”，并补充说，Uber安全团队成员并不想起诉一个似乎不能构成进一步威胁的人。

这名20岁的弗罗里达州的黑客还向第二个人支付了一笔费用，是后者帮助其访问GitHub网站。GitHub是一个被程序员广泛使用的网站，用来存储他们的代码，以获取访问Uber存放在其他地方的数据。

GitHub说，Uber此次被黑并不涉及安全系统的失败。“我们的建议是，不要在代码中存储访问令牌、密码或其他身份验证或加密密钥，”该公司在一份声明中说。

本月初，Uber三名高级安全经理从公司辞职。Pooja Ashok是三名辞职人之一，他曾首席安全官Joe Sullivan的幕僚长。在此之前，Joe Sullivan被公司解雇，原因是他试图掩盖导致5700万名乘客和600名司机个人信息被盗的安全漏洞。