Antefatto: la gigantesca società finanziaria Capital One, che opera chiaramente ed ampiamente online, ha subito tra lo scorso marzo ed il 17 luglio un’importante data breach. Pare infatti che 106 milioni di dati relativi alle carte di credito di utenti statunitensi e canadesi abbiano visto i loro dati pubblicati.
A compiere l’atto pare sia stato una hacker, o per meglio dire una cracker, in grado di penetrare nello storage dell’azienda ospitato su un cloud pubblico (un bucket AWS S3, da quello che si legge) e scaricarne il contenuto, per poi appunto pubblicarlo.
Bene, al di là del fatto eclatante (i dati pubblicati sono tanti, tantissimi), il motivo che ci spinge a parlarne qui su MiaMammaUsaLinux è quello che ne è seguito: una class action. Non solo contro, logicamente, Capital One, ma, inaspettatamente, anche contro GitHub.
Devclass.com riporta infatti come gli avvocati dei clienti Capital One abbiano esplicitamente affermato:
(“the hacker”) posted this Personal Information on GitHub.com, GitHub’s website, which encourages (at least friendly) hacking and which is publicly available
(l’hacker) ha pubblicato queste informazioni personali su GitHub.com, il sito di GitHub, che incoraggia (almeno amichevolmente) l’hacking ed è disponibile pubblicamente
Ora, capite bene come nell’affermazione qui sopra ci siano talmente tante cose sbagliate che citarle tutte si fa fatica:
- Perché si usa un termine, hacker, ed una modalità di lavoro, hacking, per descrivere qualcosa che in realtà non vi corrisponde? Come specificato sopra, è un cracker colui (o colei, in questo caso) il cui operato oltre ad esplorare modalità di hacking provoca anche dei danni, economici e non. Pertanto no, non è di hacking che si sta parlando.
- Come è possibile accusare il sito su cui i dati sono stati pubblicati di responsabilità? In particolare pare che questi dati siano rimasti su GitHub per più di tre mesi. Come è possibile pensare che sia responsabilità di GitHub occuparsi di monitorare upload di questo tipo? Tanto più che GitHub appena ricevuta la segnalazione ha prontamente rimosso i dati.
- Perché il concetto di hacking (che giustamente GitHub, ma in generale tutto il mondo open-source, promuove) è dipinto come qualcosa di negativo?
Ma non finisce qui, a leggere tutte le affermazioni degli avvocati ci sarebbe molto da aggiungere, ma una cosa curiosa emerge: è stato proprio un utente GitHub a segnalare a Capital One la violazione. Proprio il famoso 17 luglio di cui sopra.
Quindi, in realtà, se non fosse stato per GitHub…
Seguiremo da vicino la vicenda poiché, ne siamo sicuri, sarà certamente… Interessante.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Lascia un commento