GitHub、Capital Oneの個人情報漏洩事件で訴えられる
2019年8月8日 22:27
headless曰く、
Capital Oneの個人情報漏洩事件に関して、Capital Oneに加えてGitHubを被告とするクラスアクション訴訟が米国で提起された(訴状: PDF、Computing、Register)。
本件ではCapital One顧客の個人情報を含むファイルがGitHubで公開されており、これに気付いたGitHubユーザーが7月17日にCapital Oneへ通知したことで発覚した。侵害されたデータがGitHubに投稿されたのは4月21日頃で、3か月近くにわたり放置されていたことになる。
訴状ではGitHubが社会保障番号など明らかに不正取得されたデータが同社サイトで公開されないようにするための監視を怠り、適切な個人情報保護を行わなかったことを指摘。こういった行為が米盗聴法やカリフォルニア州法に違反することも指摘し、クラスアクション訴訟としての認定や違法行為などの認定・差止、損害賠償などを求めている。
なお、この事件では情報漏洩の原因がCapital Oneが独自に構築していたWebアプリケーションファイアウォール(WAF)の設定ミスだったことが明らかになっている(piyolog、Krebs on Security)。
詳細は公開されていないようだが、設定ミスを悪用することで本来外部からはアクセスできないサーバーにアクセスでき、これによって同社がAWS上で運用しているインスタンスのメタデータを取得することができたという。