El bufete de abogados Tycko & Zavareei presentó una demanda , conectado con datos personales de más de 100 millones de clientes del holding bancario Capital One, incluida información sobre unos 140 números de seguridad social y 80 números de cuentas bancarias. Además de Capital One, los acusados incluyen GitHub, que se encarga de brindar la capacidad de alojar, mostrar y utilizar la información obtenida como resultado del hack.
Según el demandante, GitHub debe cumplir con las leyes estadounidenses que prohíben la publicación pública de los números de Seguridad Social de los usuarios. En particular, dado que los números de la Seguridad Social tienen un formato fijo, la empresa tuvo que proporcionar filtros para detectar si los usuarios estaban publicando filtraciones y bloquearlas, sin esperar notificaciones oficiales.
Los representantes de GitHub declararon que la información del demandante era falsa y que los datos personales obtenidos como resultado de la filtración no se publicaron en GitHub. Uno de los repositorios solo contenía instrucciones para recuperar datos, que en realidad permanecían en una base de datos alojada en el servicio en la nube Amazon S3. Debido a una configuración incorrecta del firewall que restringía el acceso a las aplicaciones web, fue posible acceder al almacenamiento en Amazon S3. Tras la primera notificación de Capital One, las instrucciones publicadas se eliminaron de GitHub.
Como parte del proceso también Paige Thompson, una ex empleada de Amazon que descubrió el problema en marzo y publicó información sobre cómo obtener acceso a GitHub en abril. Los detalles que describen el problema permanecieron en GitHub desde el 21 de abril hasta mediados de julio. La demanda acusa a Capital One de monitorear inadecuadamente la infracción, lo que permitió que ésta pasara desapercibida durante unos tres meses.
Fuente: opennet.ru