GitHub включён в число ответчиков в деле об утечке пользовательской базы Capital One

Юридическая компания Tycko & Zavareei подала судебный иск, связанный с утечкой персональных данных более 100 миллионов клиентов банковского холдинга Capital One, включая сведения об около 140 тысячах номеров социального страхования и 80 тысячах номеров банковских счетов. Помимо Capital One в число ответчиков включена компания GitHub, которой вменяется предоставление возможности размещения, отображения и использования информации, полученной в результате взлома.

По мнению истца, GitHub обязан соблюдать действующее в США законодательство, запрещающее размещение в открытом доступе номеров социального страхования пользователей. В частности, так как номера социального страхования имеют фиксированный формат, компания должна была предусмотреть наличие фильтров для выявления фактов размещения пользователями результатов утечек и их блокировки, не дожидаясь официальных уведомлений.

Представители GitHub заявили, что сведения истца не соответствуют действительности и на GitHub не размещались полученные в результате утечки персональные данные. В одном из репозиториев лишь были помещены инструкции по получению данных, которые фактически оставались в БД, размещённой в облачном сервисе Amazon S3. Из-за ненадлежащей настройки межстевого экрана, ограничивающего доступ к web-приложениям, имелась возможность обращения к хранилищу в Amazon S3. По первому же уведомлению от Capital One размещённые инструкции были удалены из GitHub.

В рамках разбирательства также арестована Пейдж Томсон (Paige Thompson), бывшая сотрудница Amazon, которая в марте обнаружила наличие проблемы и в апреле разместила на GitHub информацию по получению доступа. Детали с описанием проблемы оставались на GitHub с 21 апреля по середину июля. Capital One в иске вменяется ненадлежащая организация мониторинга несанкционированного доступа, что привело к тому, что утечка оставалась незамеченной около трёх месяцев.

Источник: opennet.ru