Tycko & Zavareei hüquq firması məhkəməyə müraciət edib ilə əlaqəli Capital One bank holdinqinin 100 milyondan çox müştərisinin şəxsi məlumatları, o cümlədən təxminən 140 min sosial sığorta nömrəsi və 80 min bank hesabı nömrəsi. Capital One-a əlavə olaraq, müttəhimlər daxildir Hücum nəticəsində əldə edilən məlumatı yerləşdirmək, göstərmək və istifadə etmək imkanı verən GitHub.
İddiaçının sözlərinə görə, GitHub istifadəçilərin Sosial Müdafiə nömrələrinin açıq şəkildə dərcini qadağan edən ABŞ qanunlarına əməl etməlidir. Xüsusilə, Sosial Müdafiə nömrələri sabit bir formata malik olduğundan, şirkət rəsmi bildirişləri gözləmədən, istifadəçilərin sızıntılar dərc edib-etmədiyini və onları bloklayıb-yatırmadığını müəyyən etmək üçün filtrlər təqdim etməli idi.
GitHub nümayəndələri iddiaçının məlumatlarının həqiqətə uyğun olmadığını və sızma nəticəsində əldə edilən şəxsi məlumatların GitHub-da yerləşdirilmədiyini bildiriblər. Repozitoriyalardan birində yalnız Amazon S3 bulud xidmətində yerləşən verilənlər bazasında qalan məlumatların əldə edilməsi üçün təlimatlar var idi. Veb proqramlarına girişi məhdudlaşdıran təhlükəsizlik divarının düzgün olmayan konfiqurasiyası səbəbindən Amazon S3-də yaddaşa daxil olmaq mümkün olub. Capital One-dan ilk bildirişdən sonra, yerləşdirilən təlimatlar GitHub-dan silindi.
Prosesin bir hissəsi kimi Mart ayında problemi aşkar edən və aprel ayında GitHub-a necə daxil olmaq barədə məlumat yerləşdirən keçmiş Amazon işçisi Peyc Tompson. Məsələni təsvir edən təfərrüatlar aprelin 21-dən iyulun ortalarına qədər GitHub-da qaldı. İddia Capital One-ı pozuntuya düzgün nəzarət etməməkdə günahlandırır və bu, pozuntunun təxminən üç ay ərzində aşkar edilməməsinə imkan verir.
Mənbə: opennet.ru