Le cabinet d'avocats Tycko & Zavareei a porté plainte lié à les données personnelles de plus de 100 millions de clients du holding bancaire Capital One, y compris des informations sur environ 140 80 numéros de sécurité sociale et XNUMX XNUMX numéros de comptes bancaires. Outre Capital One, les accusés comprennent GitHub, chargé de fournir la possibilité d'héberger, d'afficher et d'utiliser les informations obtenues à la suite du piratage.
Selon le plaignant, GitHub est tenu de se conformer aux lois américaines interdisant la publication publique des numéros de sécurité sociale des utilisateurs. En particulier, comme les numéros de sécurité sociale ont un format fixe, l'entreprise a dû fournir des filtres pour détecter si les utilisateurs publiaient des fuites et les bloquer, sans attendre les notifications officielles.
Les représentants de GitHub ont déclaré que les informations du plaignant étaient fausses et que les données personnelles obtenues à la suite de la fuite n'avaient pas été publiées sur GitHub. L'un des référentiels contenait uniquement des instructions pour récupérer les données, qui restaient en réalité dans une base de données hébergée dans le service cloud Amazon S3. En raison d'une mauvaise configuration du pare-feu qui limitait l'accès aux applications Web, il était possible d'accéder au stockage dans Amazon S3. Dès la première notification de Capital One, les instructions publiées ont été supprimées de GitHub.
Dans le cadre de la procédure également Paige Thompson, une ancienne employée d'Amazon qui a découvert le problème en mars et publié des informations sur la façon d'accéder à GitHub en avril. Les détails décrivant le problème sont restés sur GitHub du 21 avril à la mi-juillet. Le procès accuse Capital One d'avoir mal surveillé la violation, ce qui a permis à la violation de ne pas être détectée pendant environ trois mois.
Source: opennet.ru