Юрыдычная кампанія Tycko & Zavareei падала судовы , звязаны з персанальных дадзеных больш за 100 мільёнаў кліентаў банкаўскага холдынгу Capital One, уключаючы звесткі аб каля 140 тысяч нумароў сацыяльнага страхавання і 80 тысяч нумароў банкаўскіх рахункаў. Апроч Capital One у лік адказчыкаў кампанія GitHub, якой ставіцца ў віну прадастаўленне магчымасці размяшчэння, адлюстравання і выкарыстання інфармацыі, атрыманай у выніку ўзлому.
На думку істца, GitHub абавязаны выконваць дзейнае ў ЗША заканадаўства, якое забараняе размяшчэнне ў адкрытым доступе нумароў сацыяльнага страхавання карыстальнікаў. У прыватнасці, так як нумары сацыяльнага страхавання маюць фіксаваны фармат, кампанія павінна была прадугледзець наяўнасць фільтраў для выяўлення фактаў размяшчэння карыстальнікамі вынікаў уцечак і іх блакіроўкі, не чакаючы афіцыйных апавяшчэнняў.
Прадстаўнікі GitHub заявілі, што звесткі істца не адпавядаюць рэчаіснасці і на GitHub не размяшчаліся атрыманыя ў выніку ўцечкі персанальныя дадзеныя. У адным з рэпазітараў толькі былі змешчаныя інструкцыі па атрыманні дадзеных, якія фактычна заставаліся ў БД, размешчанай у хмарным сэрвісе Amazon S3. З-за неналежнай налады межстевого экрана, які абмяжоўвае доступ да web-прыкладанняў, мелася магчымасць звароту да сховішча ў Amazon S3. Па першым жа апавяшчэнні ад Capital One размешчаныя інструкцыі былі выдаленыя з GitHub.
У рамках разбору таксама Пэйдж Томсан (Paige Thompson), былая супрацоўніца Amazon, якая ў сакавіку выявіла наяўнасць праблемы і ў красавіку размясціла на GitHub інфармацыю па атрыманні доступу. Дэталі з апісаннем праблемы заставаліся на GitHub з 21 красавіка па сярэдзіну ліпеня. Capital One у пазове ставіцца ў віну неналежная арганізацыя маніторынгу несанкцыянаванага доступу, што прывяло да таго, што ўцечка заставалася незаўважанай каля трох месяцаў.
Крыніца: opennet.ru