رفعت شركة المحاماة Tycko & Zavareei دعوى قضائية ، متصل مع البيانات الشخصية لأكثر من 100 مليون عميل لشركة Capital One المصرفية، بما في ذلك معلومات حول حوالي 140 ألف رقم ضمان اجتماعي و80 ألف رقم حساب مصرفي. بالإضافة إلى كابيتال وان، يشمل المدعى عليهم GitHub، المكلف بتوفير القدرة على استضافة وعرض واستخدام المعلومات التي تم الحصول عليها نتيجة للاختراق.
وفقًا للمدعي، يتعين على GitHub الالتزام بالقوانين الأمريكية التي تحظر النشر العام لأرقام الضمان الاجتماعي للمستخدمين. على وجه الخصوص، نظرًا لأن أرقام الضمان الاجتماعي لها تنسيق ثابت، كان على الشركة توفير مرشحات لاكتشاف ما إذا كان المستخدمون ينشرون تسريبات ويحظرونها، دون انتظار الإشعارات الرسمية.
صرح ممثلو GitHub أن معلومات المدعي كانت غير صحيحة وأن البيانات الشخصية التي تم الحصول عليها نتيجة التسريب لم يتم نشرها على GitHub. يحتوي أحد المستودعات فقط على تعليمات لاسترداد البيانات، والتي ظلت بالفعل في قاعدة بيانات مستضافة في الخدمة السحابية Amazon S3. نظرًا للتكوين غير الصحيح لجدار الحماية الذي أدى إلى تقييد الوصول إلى تطبيقات الويب، كان من الممكن الوصول إلى التخزين في Amazon S3. بناءً على الإخطار الأول من Capital One، تمت إزالة التعليمات المنشورة من GitHub.
كجزء من الإجراءات أيضا Paige Thompson، موظفة سابقة في أمازون، اكتشفت المشكلة في مارس ونشرت معلومات حول كيفية الوصول إلى GitHub في أبريل. بقيت التفاصيل التي تصف المشكلة على GitHub من 21 أبريل إلى منتصف يوليو. وتتهم الدعوى شركة Capital One بمراقبة الانتهاك بشكل غير صحيح، مما سمح بعدم اكتشاف الانتهاك لمدة ثلاثة أشهر تقريبًا.
المصدر: opennet.ru