Una class action contro GitHub accusa la società di incitamento… All’hacking!?

Antefatto: la gigantesca società finanziaria Capital One, che opera chiaramente ed ampiamente online, ha subito tra lo scorso marzo ed il 17 luglio un’importante data breach. Pare infatti che 106 milioni di dati relativi alle carte di credito di utenti statunitensi e canadesi abbiano visto i loro dati pubblicati.

A compiere l’atto pare sia stato una hacker, o per meglio dire una cracker, in grado di penetrare nello storage dell’azienda ospitato su un cloud pubblico (un bucket AWS S3, da quello che si legge) e scaricarne il contenuto, per poi appunto pubblicarlo.

Bene, al di là del fatto eclatante (i dati pubblicati sono tanti, tantissimi), il motivo che ci spinge a parlarne qui su MiaMammaUsaLinux è quello che ne è seguito: una class action. Non solo contro, logicamente, Capital One, ma, inaspettatamente, anche contro GitHub.

Devclass.com riporta infatti come gli avvocati dei clienti Capital One abbiano esplicitamente affermato:

(“the hacker”) posted this Personal Information on GitHub.com, GitHub’s website, which encourages (at least friendly) hacking and which is publicly available

(l’hacker) ha pubblicato queste informazioni personali su GitHub.com, il sito di GitHub, che incoraggia (almeno amichevolmente) l’hacking ed è disponibile pubblicamente

Ora, capite bene come nell’affermazione qui sopra ci siano talmente tante cose sbagliate che citarle tutte si fa fatica:

  1. Perché si usa un termine, hacker, ed una modalità di lavoro, hacking, per descrivere qualcosa che in realtà non vi corrisponde? Come specificato sopra, è un cracker colui (o colei, in questo caso) il cui operato oltre ad esplorare modalità di hacking provoca anche dei danni, economici e non. Pertanto no, non è di hacking che si sta parlando.
  2. Come è possibile accusare il sito su cui i dati sono stati pubblicati di responsabilità? In particolare pare che questi dati siano rimasti su GitHub per più di tre mesi. Come è possibile pensare che sia responsabilità di GitHub occuparsi di monitorare upload di questo tipo? Tanto più che GitHub appena ricevuta la segnalazione ha prontamente rimosso i dati.
  3. Perché il concetto di hacking (che giustamente GitHub, ma in generale tutto il mondo open-source, promuove) è dipinto come qualcosa di negativo?

Ma non finisce qui, a leggere tutte le affermazioni degli avvocati ci sarebbe molto da aggiungere, ma una cosa curiosa emerge: è stato proprio un utente GitHub a segnalare a Capital One la violazione. Proprio il famoso 17 luglio di cui sopra.

Quindi, in realtà, se non fosse stato per GitHub…

Seguiremo da vicino la vicenda poiché, ne siamo sicuri, sarà certamente… Interessante.

Tags: , ,