Η δικηγορική εταιρεία Tycko & Zavareei κατέθεσε μήνυση , συνδεδεμένη με προσωπικά δεδομένα περισσότερων από 100 εκατομμυρίων πελατών της τραπεζικής εταιρείας Capital One, συμπεριλαμβανομένων πληροφοριών για περίπου 140 χιλιάδες αριθμούς κοινωνικής ασφάλισης και 80 χιλιάδες αριθμούς τραπεζικών λογαριασμών. Εκτός από το Capital One, οι κατηγορούμενοι περιλαμβάνουν Το GitHub, το οποίο είναι επιφορτισμένο με την παροχή της δυνατότητας φιλοξενίας, εμφάνισης και χρήσης πληροφοριών που ελήφθησαν ως αποτέλεσμα της εισβολής.
Σύμφωνα με τον ενάγοντα, το GitHub υποχρεούται να συμμορφώνεται με τους νόμους των ΗΠΑ που απαγορεύουν τη δημόσια ανάρτηση των αριθμών κοινωνικής ασφάλισης των χρηστών. Ειδικότερα, δεδομένου ότι οι αριθμοί Κοινωνικής Ασφάλισης έχουν σταθερή μορφή, η εταιρεία έπρεπε να παρέχει φίλτρα για να ανιχνεύει εάν οι χρήστες δημοσιεύουν διαρροές και τις εμπόδιζαν, χωρίς να περιμένουν επίσημες ειδοποιήσεις.
Εκπρόσωποι του GitHub δήλωσαν ότι οι πληροφορίες του ενάγοντα ήταν αναληθή και τα προσωπικά δεδομένα που αποκτήθηκαν ως αποτέλεσμα της διαρροής δεν δημοσιεύτηκαν στο GitHub. Ένα από τα αποθετήρια περιείχε μόνο οδηγίες για την ανάκτηση δεδομένων, τα οποία στην πραγματικότητα παρέμεναν σε μια βάση δεδομένων που φιλοξενείται στην υπηρεσία cloud Amazon S3. Λόγω ακατάλληλης διαμόρφωσης του τείχους προστασίας που περιόριζε την πρόσβαση σε εφαρμογές web, ήταν δυνατή η πρόσβαση στον χώρο αποθήκευσης στο Amazon S3. Με την πρώτη ειδοποίηση από το Capital One, οι αναρτημένες οδηγίες αφαιρέθηκαν από το GitHub.
Στο πλαίσιο της διαδικασίας επίσης Η Paige Thompson, πρώην υπάλληλος της Amazon που ανακάλυψε το πρόβλημα τον Μάρτιο και δημοσίευσε πληροφορίες σχετικά με το πώς να αποκτήσει πρόσβαση στο GitHub τον Απρίλιο. Οι λεπτομέρειες που περιγράφουν το ζήτημα παρέμειναν στο GitHub από τις 21 Απριλίου έως τα μέσα Ιουλίου. Η αγωγή κατηγορεί την Capital One για ακατάλληλη παρακολούθηση της παραβίασης, η οποία επέτρεψε την παραβίαση να παραμείνει απαρατήρητη για περίπου τρεις μήνες.
Πηγή: opennet.ru