Advokatfirman Tycko & Zavareei lämnade in en stämningsansökan , ansluten till personuppgifter om mer än 100 miljoner kunder hos bankinnehavet Capital One, inklusive information om cirka 140 tusen personnummer och 80 tusen bankkontonummer. Utöver Capital One inkluderar tilltalade GitHub, som har till uppgift att tillhandahålla möjligheten att vara värd för, visa och använda information som erhållits som ett resultat av hacket.
Enligt käranden är GitHub skyldig att följa amerikanska lagar som förbjuder offentligt publicering av användarnas personnummer. I synnerhet, eftersom personnummer har ett fast format, var företaget tvunget att tillhandahålla filter för att upptäcka om användare postade läckor och blockerade dem, utan att vänta på officiella meddelanden.
Representanter för GitHub uppgav att kärandens information var osann och att personuppgifter som erhållits till följd av läckan inte publicerades på GitHub. Ett av arkiven innehöll bara instruktioner för att hämta data, som faktiskt fanns kvar i en databas som var värd i Amazon S3-molntjänsten. På grund av felaktig konfiguration av brandväggen som begränsade åtkomsten till webbapplikationer, var det möjligt att komma åt lagring i Amazon S3. Efter det första meddelandet från Capital One togs de upplagda instruktionerna bort från GitHub.
Som en del av förfarandet också Paige Thompson, en före detta Amazon-anställd som upptäckte problemet i mars och publicerade information om hur man får tillgång till GitHub i april. Detaljer som beskriver problemet fanns kvar på GitHub från 21 april till mitten av juli. Stämningen anklagar Capital One för att ha olämpligt övervakat intrånget, vilket gjorde att intrånget kunde förbli oupptäckt i cirka tre månader.
Källa: opennet.ru