Kancelaria Tycko & Zavareei złożyła pozew , połączony z dane osobowe ponad 100 milionów klientów holdingu bankowego Capital One, w tym informacje o około 140 tysiącach numerów ubezpieczenia społecznego i 80 tysiącach numerów rachunków bankowych. Oprócz Capital One wśród oskarżonych znajdują się m.in GitHub, którego zadaniem jest zapewnienie możliwości hostowania, wyświetlania i wykorzystywania informacji uzyskanych w wyniku włamania.
Według powoda GitHub ma obowiązek przestrzegać amerykańskich przepisów zabraniających publicznego publikowania numerów ubezpieczenia społecznego użytkowników. W szczególności, ponieważ numery ubezpieczenia społecznego mają stały format, firma musiała zapewnić filtry wykrywające, czy użytkownicy zamieszczają wycieki i je blokują, bez czekania na oficjalne powiadomienia.
Przedstawiciele GitHuba oświadczyli, że informacje powoda były nieprawdziwe, a dane osobowe uzyskane w wyniku wycieku nie zostały opublikowane na GitHubie. Jedno z repozytoriów zawierało jedynie instrukcje dotyczące pobierania danych, które faktycznie pozostawały w bazie danych hostowanej w usłudze chmurowej Amazon S3. Ze względu na niewłaściwą konfigurację firewalla ograniczającego dostęp do aplikacji webowych, możliwy był dostęp do pamięci w Amazon S3. Po pierwszym powiadomieniu od Capital One opublikowane instrukcje zostały usunięte z GitHub.
W ramach postępowania również Paige Thompson, była pracownica Amazona, odkryła problem w marcu i w kwietniu zamieściła informację, jak uzyskać dostęp do GitHuba. Szczegóły opisujące problem pozostawały na GitHubie od 21 kwietnia do połowy lipca. W pozwie zarzuca się Capital One niewłaściwe monitorowanie naruszenia, co pozwoliło na niewykrycie naruszenia przez około trzy miesiące.
Źródło: opennet.ru