Firma hukum Tycko & Zavareei mengajukan gugatan , terhubung dengan data pribadi lebih dari 100 juta nasabah perbankan holding Capital One, termasuk informasi sekitar 140 ribu nomor jaminan sosial dan 80 ribu nomor rekening bank. Selain Capital One, terdakwa termasuk GitHub, yang bertugas menyediakan kemampuan untuk menghosting, menampilkan, dan menggunakan informasi yang diperoleh sebagai hasil peretasan.
Menurut penggugat, GitHub diharuskan mematuhi undang-undang AS yang melarang pengeposan nomor Jaminan Sosial pengguna secara publik. Secara khusus, karena nomor Jaminan Sosial memiliki format tetap, perusahaan harus menyediakan filter untuk mendeteksi apakah pengguna memposting kebocoran dan memblokirnya, tanpa menunggu pemberitahuan resmi.
Perwakilan GitHub menyatakan bahwa informasi penggugat tidak benar dan data pribadi yang diperoleh akibat kebocoran tersebut tidak diposting di GitHub. Salah satu repositori hanya berisi instruksi untuk mengambil data, yang sebenarnya tetap berada di database yang dihosting di layanan cloud Amazon S3. Karena konfigurasi firewall yang tidak tepat yang membatasi akses ke aplikasi web, penyimpanan di Amazon S3 dapat diakses. Setelah pemberitahuan pertama dari Capital One, instruksi yang diposting telah dihapus dari GitHub.
Sebagai bagian dari proses juga Paige Thompson, mantan karyawan Amazon yang menemukan masalah ini pada bulan Maret dan memposting informasi tentang cara mendapatkan akses ke GitHub pada bulan April. Detail yang menjelaskan masalah ini tetap ada di GitHub mulai 21 April hingga pertengahan Juli. Gugatan tersebut menuduh Capital One tidak memantau pelanggaran tersebut dengan benar, sehingga pelanggaran tersebut tidak terdeteksi selama sekitar tiga bulan.
Sumber: opennet.ru