O escritório de advocacia Tycko & Zavareei entrou com uma ação judicial , conectado com dados pessoais de mais de 100 milhões de clientes da holding bancária Capital One, incluindo informações sobre cerca de 140 mil números de segurança social e 80 mil números de contas bancárias. Além da Capital One, os réus incluem GitHub, encarregado de fornecer a capacidade de hospedar, exibir e usar informações obtidas como resultado do hack.
De acordo com o autor, o GitHub é obrigado a cumprir as leis dos EUA que proíbem a publicação pública dos números do Seguro Social dos usuários. Em particular, como os números da Segurança Social têm um formato fixo, a empresa teve de fornecer filtros para detectar se os utilizadores estavam a publicar fugas de informação e bloqueá-los, sem esperar por notificações oficiais.
Representantes do GitHub afirmaram que as informações do reclamante eram falsas e os dados pessoais obtidos como resultado do vazamento não foram publicados no GitHub. Um dos repositórios continha apenas instruções para recuperação de dados, que na verdade permaneciam em um banco de dados hospedado no serviço de nuvem Amazon S3. Devido à configuração inadequada do firewall que restringia o acesso às aplicações web, foi possível acessar o armazenamento no Amazon S3. Após a primeira notificação da Capital One, as instruções publicadas foram removidas do GitHub.
Como parte do processo também Paige Thompson, ex-funcionária da Amazon que descobriu o problema em março e postou informações sobre como obter acesso ao GitHub em abril. Os detalhes que descrevem o problema permaneceram no GitHub de 21 de abril a meados de julho. A ação acusa a Capital One de monitorar indevidamente a violação, o que permitiu que ela passasse despercebida por cerca de três meses.
Fonte: opennet.ru