Die Anwaltskanzlei Tycko & Zavareei reichte Klage ein , verbunden mit personenbezogene Daten von mehr als 100 Millionen Kunden der Bankholding Capital One, darunter Informationen über etwa 140 Sozialversicherungsnummern und 80 Bankkontonummern. Zu den Angeklagten gehören neben Capital One auch: GitHub, dessen Aufgabe darin besteht, die Möglichkeit bereitzustellen, die durch den Hack erhaltenen Informationen zu hosten, anzuzeigen und zu nutzen.
Nach Angaben des Klägers ist GitHub verpflichtet, US-Gesetze einzuhalten, die die öffentliche Veröffentlichung der Sozialversicherungsnummern von Benutzern verbieten. Da Sozialversicherungsnummern ein festes Format haben, musste das Unternehmen insbesondere Filter bereitstellen, um zu erkennen, ob Benutzer Leaks veröffentlichen und diese blockieren, ohne auf offizielle Benachrichtigungen warten zu müssen.
Vertreter von GitHub gaben an, dass die Angaben des Klägers unwahr seien und die durch das Leck erlangten personenbezogenen Daten nicht auf GitHub veröffentlicht worden seien. Eines der Repositorys enthielt nur Anweisungen zum Abrufen von Daten, die tatsächlich in einer Datenbank verblieben, die im Cloud-Dienst Amazon S3 gehostet wurde. Aufgrund einer falschen Konfiguration der Firewall, die den Zugriff auf Webanwendungen einschränkte, war es möglich, auf den Speicher in Amazon S3 zuzugreifen. Nach der ersten Benachrichtigung von Capital One wurden die veröffentlichten Anweisungen von GitHub entfernt.
Auch im Rahmen des Verfahrens Paige Thompson, eine ehemalige Amazon-Mitarbeiterin, die das Problem im März entdeckte und im April Informationen darüber veröffentlichte, wie man Zugriff auf GitHub erhält. Details zur Problembeschreibung blieben vom 21. April bis Mitte Juli auf GitHub verfügbar. In der Klage wird Capital One vorgeworfen, den Verstoß nicht ordnungsgemäß überwacht zu haben, wodurch der Verstoß etwa drei Monate lang unentdeckt blieb.
Source: opennet.ru