Lo studio legale Tycko & Zavareei ha intentato una causa , Correlato a dati personali di oltre 100 milioni di clienti della holding bancaria Capital One, comprese informazioni su circa 140mila numeri di previdenza sociale e 80mila numeri di conto bancario. Oltre a Capital One, gli imputati includono GitHub, che ha il compito di fornire la possibilità di ospitare, visualizzare e utilizzare le informazioni ottenute a seguito dell'hacking.
Secondo il querelante, GitHub è tenuto a rispettare le leggi statunitensi che vietano la pubblicazione pubblica dei numeri di previdenza sociale degli utenti. In particolare, poiché i numeri di previdenza sociale hanno un formato fisso, l'azienda ha dovuto fornire filtri per rilevare se gli utenti pubblicavano leak e bloccarli, senza attendere notifiche ufficiali.
I rappresentanti di GitHub hanno affermato che le informazioni del querelante non erano vere e che i dati personali ottenuti a seguito della fuga di notizie non erano stati pubblicati su GitHub. Uno dei repository conteneva solo le istruzioni per il recupero dei dati, che in realtà rimanevano in un database ospitato nel servizio cloud Amazon S3. A causa di una configurazione errata del firewall che limitava l'accesso alle applicazioni web, è stato possibile accedere allo storage in Amazon S3. Alla prima notifica da Capital One, le istruzioni pubblicate sono state rimosse da GitHub.
Anche nell'ambito del procedimento Paige Thompson, un'ex dipendente di Amazon che ha scoperto il problema a marzo e ha pubblicato informazioni su come accedere a GitHub ad aprile. I dettagli che descrivono il problema sono rimasti su GitHub dal 21 aprile a metà luglio. La causa accusa Capital One di aver monitorato in modo improprio la violazione, cosa che ha permesso che la violazione non venisse rilevata per circa tre mesi.
Fonte: opennet.ru