Công ty luật Tycko & Zavareei đệ đơn kiện , kết nối với dữ liệu cá nhân của hơn 100 triệu khách hàng của ngân hàng Capital One, bao gồm thông tin về khoảng 140 nghìn số an sinh xã hội và 80 nghìn số tài khoản ngân hàng. Ngoài Capital One, các bị cáo còn có GitHub, được giao nhiệm vụ cung cấp khả năng lưu trữ, hiển thị và sử dụng thông tin thu được sau vụ hack.
Theo nguyên đơn, GitHub bắt buộc phải tuân thủ luật pháp Hoa Kỳ cấm đăng công khai số An sinh xã hội của người dùng. Đặc biệt, vì số An sinh xã hội có định dạng cố định nên công ty phải cung cấp các bộ lọc để phát hiện xem người dùng có đăng thông tin rò rỉ hay không và chặn chúng mà không cần chờ thông báo chính thức.
Đại diện của GitHub tuyên bố rằng thông tin của nguyên đơn là sai sự thật và dữ liệu cá nhân thu được do rò rỉ không được đăng trên GitHub. Một trong những kho lưu trữ chỉ chứa các hướng dẫn truy xuất dữ liệu, thực tế vẫn còn trong cơ sở dữ liệu được lưu trữ trên dịch vụ đám mây Amazon S3. Do cấu hình tường lửa không đúng đã hạn chế quyền truy cập vào các ứng dụng web nên có thể truy cập vào bộ lưu trữ trên Amazon S3. Sau thông báo đầu tiên từ Capital One, các hướng dẫn đã đăng đã bị xóa khỏi GitHub.
Là một phần của quá trình tố tụng cũng Paige Thompson, cựu nhân viên Amazon, người đã phát hiện ra vấn đề vào tháng 21 và đăng thông tin về cách truy cập GitHub vào tháng XNUMX. Thông tin chi tiết mô tả vấn đề vẫn còn trên GitHub từ ngày XNUMX tháng XNUMX đến giữa tháng XNUMX. Vụ kiện cáo buộc Capital One đã giám sát vi phạm không đúng cách, khiến vi phạm không bị phát hiện trong khoảng ba tháng.
Nguồn: opennet.ru