O bufete de avogados Tycko & Zavareei presentou unha demanda , conectado con datos persoais de máis de 100 millóns de clientes do holding bancario Capital One, incluíndo información sobre preto de 140 mil números de seguridade social e 80 mil números de conta bancaria. Ademais de Capital One, os acusados inclúen GitHub, que se encarga de proporcionar a capacidade de aloxar, mostrar e usar a información obtida como resultado do hackeo.
Segundo o demandante, GitHub está obrigado a cumprir coas leis estadounidenses que prohiben a publicación pública dos números da Seguridade Social dos usuarios. En concreto, dado que os números da Seguridade Social teñen un formato fixo, a empresa tivo que proporcionar filtros para detectar se os usuarios publicaban filtracións e as bloqueaban, sen esperar a notificacións oficiais.
Os representantes de GitHub afirmaron que a información do demandante era falsa e que os datos persoais obtidos como resultado da filtración non se publicaron en GitHub. Un dos repositorios só contiña instrucións para recuperar datos, que en realidade permanecían nunha base de datos aloxada no servizo na nube de Amazon S3. Debido á configuración incorrecta do firewall que restrinxiu o acceso ás aplicacións web, foi posible acceder ao almacenamento en Amazon S3. Tras a primeira notificación de Capital One, as instrucións publicadas foron eliminadas de GitHub.
No marco do proceso tamén Paige Thompson, unha antiga empregada de Amazon que descubriu o problema en marzo e publicou información sobre como acceder a GitHub en abril. Os detalles que describen o problema permaneceron en GitHub desde o 21 de abril ata mediados de xullo. A demanda acusa a Capital One de realizar un seguimento indebido do incumprimento, o que permitiu que o incumprimento pasase desapercibido durante uns tres meses.
Fonte: opennet.ru