流出が確認された大手のうちの一つ、そのグループ内子会社で働いてます。
実は今回の件が初めてじゃないんだよね。去年だか一昨年にpublicで業務コード公開されちゃってる例が発覚して全社的に調査が入り、GitHub以外にもCodeCommitとか使ってないか?使ってるならクローズドにできてるか?認証情報はどう管理してるか?など全部提出要請があった。関連して、顧客とファイル共有サービス使ってる場合も同様。
GitHubは禁止!遮断!とかにはならなかった。なってたら仕事できん。
で、何でpushしちゃうのかというと。低賃金とかヤバさが理解できないとかはレアケースだと思ってる。「ヤバいのは承知してるが仕事を持ち帰りたい」のケースが結構あるんじゃないかと。
どうして持ち帰りたいかといえば、諸事情によりサビ残の方が楽で記録とられない自宅マシンでやりたいとか、会社支給のVDIが低スペすぎる&プロキシが邪魔だから私用マシンの方がいいとかそういう感じなんじゃないかと。
MSのおかげでprivate利用が無料になって以来、おそらくこの手のリポジトリがたくさんひしめいてる。そんでinit時にうっかりpublicのままにしちゃって事故る。
デフォルトをprivateにしないからevil