A Tycko & Zavareei ügyvédi iroda pert indított , kapcsolatban A Capital One bankholding több mint 100 millió ügyfelének személyes adatai, köztük mintegy 140 ezer TAJ számról és 80 ezer bankszámlaszámról szóló információ. A Capital One mellett a vádlottak közé tartozik GitHub, amelynek feladata a feltörés eredményeként kapott információk tárolásának, megjelenítésének és felhasználásának biztosítása.
A felperes szerint a GitHubnak meg kell felelnie az Egyesült Államok törvényeinek, amelyek tiltják a felhasználók társadalombiztosítási számainak nyilvános közzétételét. Különösen, mivel a társadalombiztosítási számok rögzített formátumúak, a vállalatnak szűrőket kellett biztosítania annak észlelésére, hogy a felhasználók közzétesznek-e szivárgást, és blokkolják-e azokat anélkül, hogy megvárnák a hivatalos értesítéseket.
A GitHub képviselői kijelentették, hogy a felperes információi valótlanok, és a kiszivárogtatás eredményeként megszerzett személyes adatokat nem tették közzé a GitHubon. Az egyik adattár csak utasításokat tartalmazott az adatok lekérésére, amelyek valójában az Amazon S3 felhőszolgáltatásban tárolt adatbázisban maradtak. A tűzfal helytelen konfigurációja miatt, amely korlátozta a webalkalmazásokhoz való hozzáférést, lehetséges volt hozzáférni az Amazon S3 tárhelyéhez. A Capital One első értesítésére a közzétett utasításokat eltávolították a GitHubról.
Az eljárás részeként is Paige Thompson, egy korábbi Amazon-alkalmazott, aki márciusban fedezte fel a problémát, és áprilisban közzétett információkat arról, hogyan juthat hozzá a GitHubhoz. A problémát leíró részletek április 21-től július közepéig maradtak a GitHubon. A per azzal vádolja a Capital One-t, hogy nem megfelelően figyelte a jogsértést, ami lehetővé tette, hogy a jogsértés körülbelül három hónapig észrevétlen maradjon.
Forrás: opennet.ru