优步向20岁的佛罗里达黑客支付了10万美元以保密数据泄露

事实证明，去年，一名20岁的佛罗里达州男子在另一名男子的帮助下，入侵了优步的系统，并获得了优步的巨额赔偿，以销毁数据并为事件保密。

就在上周，优步宣布2016年10月的一次大规模数据泄露暴露了5700万客户和司机的个人数据，并向两名黑客支付了10万美元的赎金以销毁这些信息。

然而，这家叫车公司没有透露黑客的身份或任何信息，也没有透露黑客的付费方式。
现在，两位熟悉该事件的未知消息人士告诉路透社，优步通过HackerOne平台向一名佛罗里达男子支付了费用，该平台帮助公司托管其漏洞赏金和漏洞披露程序。

到目前为止，无法获得这名佛罗里达男子的身份，也无法获得帮助他实施黑客攻击的其他人的身份。

值得注意的是，哈克龙不代表公司管理或参与决定奖励，在支付奖励之前，他通过IRS W-9或W-8BEN表格接收收件人（黑客和研究人员）的身份信息。

换句话说，Uber和HackerOne的一些员工肯定知道黑客的真实身份，但选择不起诉，因为此人似乎不会对公司未来构成任何威胁。

此外，消息人士还表示，优步对黑客的电脑进行了法医分析，以确保所有被盗数据都已被删除，并要求黑客签署保密协议，以防止进一步的不法行为。

据报道，这名佛罗里达州男子还向第二人支付了所获赏金中未知的部分，第二人负责帮助他从GitHub获取凭证，以便访问存储在其他地方的Uber数据。

该漏洞最初发生在2016年10月，泄露了美国约60万名司机的姓名和驾照号码，以及全球约5700万优步用户（包括司机）的姓名、电子邮件和手机号码。
然而，其他个人信息，如旅行地点历史记录、出生日期、信用卡号码、银行账号和社会安全号码，在袭击中没有被访问。

优步前首席执行官特拉维斯·卡兰尼克（Travis Kalanick）在2016年11月得知了这起网络攻击，并选择不让当局介入，认为该公司可以轻松、更有效地直接与黑客谈判，以限制对其客户的任何伤害。

然而，这种与黑客的秘密交易最终让优步安全高管失去了处理这起事件的工作。

现在，据报道，优步首席执行官达拉·科斯洛沙希（Dara Khosrowshahi）解雇了优步首席安全官乔·沙利文（Joe Sullivan）和他的副手克雷格·克拉克（Craig Clark），后者致力于让数据泄露事件保持安静。

“这一切都不应该发生，我也不会为之找借口。虽然我不能抹去过去，但我可以代表每一位优步员工承诺，我们将从错误中吸取教训，”科斯洛沙希说。

“我们正在改变我们的经营方式，将诚信作为我们做出的每一个决定的核心，并努力赢得客户的信任”。

上周，又有三名优步高级安全经理辞职，其中包括沙利文的幕僚长Pooja Ashok、高级安全工程师Prithvi Rai和物理安全总监杰夫·琼斯。