Advocatenkantoor Tycko & Zavareei heeft een rechtszaak aangespannen , verbonden met persoonsgegevens van ruim 100 miljoen klanten van de bankholding Capital One, waaronder informatie over ongeveer 140 duizend burgerservicenummers en 80 duizend bankrekeningnummers. Naast Capital One omvatten gedaagden ook GitHub, dat belast is met het bieden van de mogelijkheid om informatie die als gevolg van de hack is verkregen, te hosten, weer te geven en te gebruiken.
Volgens de eiser is GitHub verplicht om te voldoen aan de Amerikaanse wetten die het openbaar publiceren van burgerservicenummers van gebruikers verbieden. Omdat burgerservicenummers een vast formaat hebben, moest het bedrijf met name filters leveren om te detecteren of gebruikers lekken postten en deze te blokkeren, zonder op officiële meldingen te wachten.
Vertegenwoordigers van GitHub verklaarden dat de informatie van de eiser niet waar was en dat de persoonlijke gegevens die als gevolg van het lek waren verkregen, niet op GitHub waren geplaatst. Eén van de repositories bevatte alleen instructies voor het ophalen van gegevens, die feitelijk in een database bleven die werd gehost in de Amazon S3-clouddienst. Door een onjuiste configuratie van de firewall die de toegang tot webapplicaties beperkte, was het mogelijk om toegang te krijgen tot de opslag in Amazon S3. Bij de eerste melding van Capital One werden de geposte instructies verwijderd van GitHub.
Ook als onderdeel van de procedure Paige Thompson, een voormalige Amazon-medewerker die het probleem in maart ontdekte en in april informatie plaatste over hoe je toegang kunt krijgen tot GitHub. Details die het probleem beschrijven, bleven van 21 april tot half juli op GitHub staan. De rechtszaak beschuldigt Capital One van het onjuist monitoren van de inbreuk, waardoor de inbreuk ongeveer drie maanden onopgemerkt bleef.
Bron: opennet.ru