Capital One & GitHub angeklagt. GitHub wird vorgeworfen, Daten über den Hack auf der Code-Sharing-Seite indirekt veröffentlicht zu haben.
Capital One und GitHub hat man jetzt beide im Rahmen einer Sammelklage in Kalifornien angeklagt. Ein Hacker hatte kürzlich eine Sicherheitslücke bei Capital One ausgenutzt. Er konnte persönliche Daten von mehr als 106 Millionen Nutzern entwenden. Github hat man auch angeklagt, weil der Hacker Details über den Hack auf der Code-Sharing-Seite veröffentlicht hat.
Details zur Capital One Sicherheitslücke auf GitHub
Die Anklage behauptet, dass „Entscheidungen des Managements von GitHub [….] es ermöglicht haben, dass die gehackten Daten veröffentlicht, angezeigt, verwendet und/oder anderweitig verfügbar gewesen sind“. Demnach waren Details über den Capital One Hack vom 21. April 2019 bis Mitte Juli auf GitHub verfügbar, bevor GitHub sie schließlich entfernt hat.
Die Anklage besteht darauf, dass „GitHub wusste oder hätte wissen müssen, dass offensichtlich gehackte Daten auf GitHub.com gepostet wurden“. GitHub hat dem Hacker also erlaubt Informationen bezüglich des Hacks auf ihren Servern zu speichern und somit gegen den Federal Wiretap Act verstoßen.
GitHub wird auch vorgeworfen, nach kalifornischem Recht und Branchenstandards verpflichtet zu sein, die Sozial-versicherungsnummern und persönlichen Daten von der Seite zu entfernen. Diese Daten wären aber für knapp drei Monate öffentlich auf GitHub einsehbar gewesen.
GitHub teilte ZDNet allerdings mit, „Die Datei, die in diesem Fall auf GitHub veröffentlicht wurde, enthielt keine Sozialversicherungsnummern, Bankkontoinformationen oder andere angeblich gestohlene persönliche Daten“. Capital One bestätigte diese Aussage gegenüber ZDNet. Umgehend nach einem entsprechenden Hinweis von Capital One hat GitHub alle Daten bezüglich der Sicherheitslücke von der Seite gelöscht.
GitHub fördert und unterstützt Hacker
GitHub wird auch vorgeworfen, Hacker aktiv zu unterstützen und Hacking allgemein sogar zu fördern. Auf GitHub könnte man allerlei Anleitungen und Informationen finden, wie man in Systeme eindringt oder Sicherheitslücken finden und ausnützen kann. Die Anklage verweist dabei auf eine GitHub-Repository namens „Awesome Hacking“.
Dass die Anklage mit diesen Anschuldigungen gegen GitHub Erfolg haben wird, darf man allerdings zurecht bezweifeln. Immerhin kann man die Repositorys nicht mit GitHub selber in Verbindung bringen. Tausende ähnliche GitHub-Archive, hosten legale Hacking, Pen-Testing-, Cybersicherheits- und Reverse Engineering-Ressourcen und Tutorials. User aus aller Welt tragen diese Daten zusammen, um ihr Wissen mit anderen zu teilen. Die Nutzer weisen in diesen Tutorials meist sogar explizit darauf hin, diese Informationen nur für „Forschungszwecke“ bzw. zur eigenen Weiterbildung zu nutzen. Illegal wird das Ganze also nur, wenn jemand die Informationen trotz entsprechendem Hinweis für illegale Zwecke missbraucht.
Schlechte Karten für Capital One
Alles in allem sind die Chancen, dass man GitHub für schuldig befinden wird, ziemlich gering.
Für Capital One hingegen wird es nicht ganz so einfach sein. Die Anklage weist darauf hin, dass es bei Capital One bereits im November 2014, Juli 2017 und September 2017 schwerwiegende Sicherheitslücken gab.
Paige Thompson wurde bereits Anfang letzter Woche verhaftet. Ihr wird vorgeworfen, unter anderem für die Ausnutzung der Sicherheitslücke bei Capital One verantwortlich zu sein. Vorgeworfen wird ihr aber auch, außer Capital One noch mehrere andere Unternehmen gehackt zu haben. Sie soll unter anderem Unicredit, Vodafone, Ford, Michigan State University und das Ohio Departement of Transportation gehackt haben.
Beitragsbild geralt, thx! (Pixabay License)
Tarnkappe.info
