GitHub、Capital Oneの個人情報漏洩事件で訴えられる

2019年8月8日 22:27

印刷

記事提供元:スラド

 headless曰く、

 Capital Oneの個人情報漏洩事件に関して、Capital Oneに加えてGitHubを被告とするクラスアクション訴訟が米国で提起された(訴状: PDFComputingRegister)。

 本件ではCapital One顧客の個人情報を含むファイルがGitHubで公開されており、これに気付いたGitHubユーザーが7月17日にCapital Oneへ通知したことで発覚した。侵害されたデータがGitHubに投稿されたのは4月21日頃で、3か月近くにわたり放置されていたことになる。

 訴状ではGitHubが社会保障番号など明らかに不正取得されたデータが同社サイトで公開されないようにするための監視を怠り、適切な個人情報保護を行わなかったことを指摘。こういった行為が米盗聴法やカリフォルニア州法に違反することも指摘し、クラスアクション訴訟としての認定や違法行為などの認定・差止、損害賠償などを求めている。

 なお、この事件では情報漏洩の原因がCapital Oneが独自に構築していたWebアプリケーションファイアウォール(WAF)の設定ミスだったことが明らかになっている(piyologKrebs on Security)。

 詳細は公開されていないようだが、設定ミスを悪用することで本来外部からはアクセスできないサーバーにアクセスでき、これによって同社がAWS上で運用しているインスタンスのメタデータを取得することができたという。

 スラドのコメントを読む | セキュリティセクション | 法廷 | アメリカ合衆国 | 情報漏洩

 関連ストーリー:
米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される 2019年07月31日
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 2015年03月06日
米 Rackspace、「GitHub が特許侵害をしている」として訴えられる 2012年10月09日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事