Firma ligjore Tycko & Zavareei ngriti një padi , lidhur me të dhënat personale të më shumë se 100 milionë klientëve të zotërimit bankar Capital One, duke përfshirë informacione për rreth 140 mijë numra të sigurimeve shoqërore dhe 80 mijë numra llogarish bankare. Përveç Capital One, të pandehurit përfshijnë GitHub, i cili është i ngarkuar me ofrimin e aftësisë për të pritur, shfaqur dhe përdorur informacionin e marrë si rezultat i hakimit.
Sipas paditësit, GitHub duhet të respektojë ligjet amerikane që ndalojnë postimin publik të numrave të sigurimeve shoqërore të përdoruesve. Në veçanti, duke qenë se numrat e Sigurimeve Shoqërore kanë një format fiks, kompania duhej të siguronte filtra për të zbuluar nëse përdoruesit po postonin rrjedhje dhe po i bllokonin ato, pa pritur njoftime zyrtare.
Përfaqësuesit e GitHub deklaruan se informacioni i paditësit ishte i pavërtetë dhe të dhënat personale të marra si rezultat i rrjedhjes nuk u postuan në GitHub. Një nga magazinat përmbante vetëm udhëzime për marrjen e të dhënave, të cilat në fakt mbetën në një bazë të dhënash të vendosur në shërbimin cloud të Amazon S3. Për shkak të konfigurimit të pahijshëm të murit të zjarrit që kufizoi aksesin në aplikacionet në internet, ishte e mundur të qasesh në hapësirën ruajtëse në Amazon S3. Me njoftimin e parë nga Capital One, udhëzimet e postuara u hoqën nga GitHub.
Si pjesë e procedurës gjithashtu Paige Thompson, një ish-punonjëse e Amazon që zbuloi problemin në mars dhe postoi informacione se si të fitonte akses në GitHub në prill. Detajet që përshkruajnë problemin mbetën në GitHub nga 21 prilli deri në mes të korrikut. Padia akuzon Capital One për monitorim të pahijshëm të shkeljes, gjë që lejoi që shkelja të mos zbulohej për rreth tre muaj.
Burimi: opennet.ru