Юридична компанія Tycko & Zavareei подала судовий , пов'язаний з персональних даних понад 100 мільйонів клієнтів банківського холдингу Capital One, включаючи відомості про близько 140 тисяч номерів соціального страхування та 80 тисяч номерів банківських рахунків. Крім Capital One до числа відповідачів компанія GitHub, яка ставиться в провину надання можливості розміщення, відображення та використання інформації, отриманої в результаті злому.
На думку позивача, GitHub зобов'язаний дотримуватись чинного в США законодавства, що забороняє розміщення у відкритому доступі номерів соціального страхування користувачів. Зокрема, оскільки номери соціального страхування мають фіксований формат, компанія мала передбачити наявність фільтрів виявлення фактів розміщення користувачами результатів витоків та його блокування, не чекаючи офіційних повідомлень.
Представники GitHub заявили, що відомості позивача не відповідають дійсності і на GitHub не розміщувалися отримані в результаті витоку персональні дані. В одному з репозиторіїв були лише поміщені інструкції з отримання даних, які фактично залишалися в БД, розміщеній у хмарному сервісі Amazon S3. Через неналежну настройку міжстіжного екрану, що обмежує доступ до web-додатків, була можливість звернення до сховища в Amazon S3. За першим повідомленням від Capital One розміщені інструкції були видалені з GitHub.
У рамках розгляду також Пейдж Томсон (Paige Thompson), колишня співробітниця Amazon, яка в березні виявила наявність проблеми та у квітні розмістила на GitHub інформацію щодо отримання доступу. Деталі з описом проблеми залишалися на GitHub з 21 квітня до середини липня. Capital One в позові ставиться в провину неналежна організація моніторингу несанкціонованого доступу, що призвело до того, що витік залишався непоміченим близько трьох місяців.
Джерело: opennet.ru