Die Rechtsanwaltskanzlei Tycko & Zavareei hat Klage erhoben die persönlichen Daten von über 100 Millionen Kunden der Bankenholding Capital One, einschließlich Informationen zu etwa 140.000 Sozialversicherungsnummern und 80.000 Bankkontonummern. Neben Capital One sind auch die Firma GitHub unter den Beklagten, der vorgeworfen wird, die Möglichkeit zur Veröffentlichung, Anzeige und Nutzung von Informationen, die durch einen Datenbruch erlangt wurden, bereitgestellt zu haben. Laut der Klage ist GitHub verpflichtet, die in den USA geltenden Gesetze zu beachten, die die öffentliche Bereitstellung von Sozialversicherungsnummern verbieten. Insbesondere da die Sozialversicherungsnummern ein festgelegtes Format haben, hätte das Unternehmen Filtersysteme vorsehen müssen, um die Veröffentlichung von durch Datenlecks erlangten Informationen durch Benutzer zu erkennen und zu blockieren, ohne auf offizielle Benachrichtigungen zu warten.
Laut dem Kläger ist GitHub verpflichtet, die in den USA geltenden Gesetze einzuhalten, die die Veröffentlichung von Sozialversicherungsnummern von Nutzern in der Öffentlichkeit verbieten. Insbesondere da Sozialversicherungsnummern ein festgelegtes Format haben, hätte das Unternehmen Filter implementieren müssen, um Fälle der Veröffentlichung von durch Leaks erlangten Daten zu erkennen und zu blockieren, ohne auf offizielle Benachrichtigungen zu warten.
Vertreter von GitHub haben erklärt, dass die Angaben des Klägers nicht der Wahrheit entsprechen und dass auf GitHub keine durch die Datenpanne erlangten persönlichen Daten veröffentlicht wurden. In einem der Repositories wurden lediglich Anweisungen zur Beschaffung von Daten hinterlegt, die tatsächlich in einer Datenbank gespeichert waren, die auf dem Cloud-Service Amazon S3 gehostet wurde. Aufgrund einer fehlerhaften Konfiguration der Firewall, die den Zugang zu Webanwendungen einschränkte, war es möglich, auf den Speicher in Amazon S3 zuzugreifen. Nach der ersten Benachrichtigung von Capital One wurden die veröffentlichten Anweisungen von GitHub entfernt.
Im Rahmen des Verfahrens wurde ebenfalls Paige Thompson, eine ehemalige Mitarbeiterin von Amazon, die im März auf das Problem aufmerksam wurde und im April Informationen zur Erlangung des Zugangs auf GitHub veröffentlichte. Details zur Problembeschreibung blieben zwischen dem 21. April und Mitte Juli auf GitHub verfügbar. Capital One wird vorgeworfen, die Überwachung unbefugten Zugriffs nicht ordnungsgemäß organisiert zu haben, was dazu führte, dass die Datenpanne etwa drei Monate lang unbemerkt blieb.
Quelle: opennet.ru
