Hukuk firması Tycko & Zavareei dava açtı ile bağlantılı Capital One adlı bankanın 100 milyondan fazla müşterisinin kişisel verileri, yaklaşık 140 bin sosyal güvenlik numarası ve 80 bin banka hesap numarasına ilişkin bilgiler dahil. Capital One'a ek olarak sanıklar arasında şunlar yer alıyor: Saldırı sonucunda elde edilen bilgilerin barındırılması, görüntülenmesi ve kullanılması olanağını sağlamakla görevlendirilen GitHub.
Davacıya göre GitHub'ın, kullanıcıların Sosyal Güvenlik numaralarının kamuya açık olarak yayınlanmasını yasaklayan ABD yasalarına uyması gerekiyor. Özellikle Sosyal Güvenlik numaraları sabit bir formata sahip olduğundan şirketin, resmi bildirimleri beklemeden kullanıcıların sızıntı yayınlayıp yayınlamadığını tespit etmek ve bunları engellemek için filtreler sağlaması gerekiyordu.
GitHub temsilcileri, davacının bilgilerinin gerçek olmadığını ve sızıntı sonucu elde edilen kişisel verilerin GitHub'da yayınlanmadığını belirtti. Depolardan biri yalnızca verileri almaya yönelik talimatlar içeriyordu ve bu talimatlar aslında Amazon S3 bulut hizmetinde barındırılan bir veritabanında kalıyordu. Web uygulamalarına erişimi kısıtlayan güvenlik duvarının yanlış yapılandırılması nedeniyle Amazon S3'te depolama alanına erişim mümkün oldu. Capital One'dan gelen ilk bildirim üzerine yayınlanan talimatlar GitHub'dan kaldırıldı.
Ayrıca yargılamanın bir parçası olarak Eski bir Amazon çalışanı olan Paige Thompson, sorunu Mart ayında keşfetti ve Nisan ayında GitHub'a nasıl erişilebileceğine dair bilgi yayınladı. Sorunu açıklayan ayrıntılar 21 Nisan'dan Temmuz ortasına kadar GitHub'da kaldı. Dava, Capital One'ı ihlali uygunsuz bir şekilde izlemekle suçluyor ve bu da ihlalin yaklaşık üç ay boyunca tespit edilmemesine neden oluyor.
Kaynak: opennet.ru