Restauracje Sue Vendors After Hack dla sprzedawców

Kiedy Keith Bond kupił skomputeryzowany system kas fiskalnych dla swojej restauracji Broussard, Louisiana, myślał, że modernizuje swoją restaurację. Dziś wierzy, że nieświadomie otworzył tylne drzwi dla rumuńskich hakerów, którzy teraz kosztują go ponad 50 000 dolarów.

Bond's jest jedną z ponad tuzina restauracji w Luizjanie, które pozwały twórców ich punktu widzenia. system sprzedaży, który zakłada, że ​​firmy, które stworzyły i odsprzedały systemy, powinny ponosić odpowiedzialność za grzywny nakładane przez procesorów płatności po włamaniach.

Jego historia brzmi jak ostrzeżenie dla małych firm, które łączą swoje firmy z Internet stał się również ofiarą wyrafinowanych cyberprzestępców.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Bond mówi, że systemy w jego Mel's Diner, Część II, zostały zhakowane, wraz z kilkoma innymi restauracje w regionie, około marca 2008 r. Śledczy powiedzieli mu, że systemy zostały zaatakowane przez rumuńskich hakerów, którzy korzystali z oprogramowania do zdalnego dostępu do urządzeń w celu kradzieży numerów kart kredytowych z systemów. To oprogramowanie pozwala resellerowi Bonda, Computer World, zapewniać zdalne wsparcie dla systemów. Przestępcy zabrali te numery kart kredytowych, a następnie wykorzystali je do dokonania oszukańczych zakupów w całych Stanach Zjednoczonych, powiedział.

W pozwie zbiorowym Bond i inni powodowie twierdzą, że ich systemy kasowe są niezgodne z przepisami ze standardem bezpieczeństwa danych kart płatniczych (PCI DSS), który określa, w jaki sposób duże firmy obsługujące karty kredytowe oczekują komputerów swoich sprzedawców. Bond i inni obwiniają producenta swojego systemu sprzedaży Aloha, Radiant Systems, i jego odsprzedawcę Louisiana, Computer World (Computer World nie jest powiązany z magazynem ComputerWorld IDG).

Po włamaniu Bond musiał wydać blisko do 20 000 $ na audyt jego systemów. Następnie oszacowano go na dziesiątki tysięcy dolarów w postaci grzywien i opłat za zwrot pieniędzy wygenerowanych przez 699 numerów kart kredytowych, które zostały skradzione z jego trzech urządzeń punktu sprzedaży.

"Naszymi klientami są restauracje" - powiedział adwokat Bonda, Charles Hoff w oświadczeniu. "To eksperci od żywności, a nie technolodzy, gdy najwięksi gracze w branży hotelarskiej, tacy jak Radiant Systems i jej dystrybutorzy twierdzą, że ich oprogramowanie i praktyki biznesowe są zgodne z PCI-DSS, nasi klienci ufają im."

Pozew zbiorowy złożony w październiku, ale nie był powszechnie znany, dopóki blog prywatności DataBreaches.net nie ujawnił go w zeszłym tygodniu. Kolejny podobny pozew został wniesiony przeciwko Radiant i Computer World w kwietniu przez powodów w Gruzji. ​​

Cytując politykę firmy, rzeczniczka Radiant odmówiła komentarza w sprawie pozwów, ale w e-mailowym oświadczeniu powiedziała, że ​​firma uważa, że zarzuty są bez zasług. "Ci klienci byli ofiarami aktów przestępczych prawie dwa lata temu. Niestety, w dzisiejszym świecie przestępcze działania, takie jak te, nie są niczym niezwykłym w branży restauracyjnej" - czytamy w oświadczeniu.

Bond tego nie kupuje. "Kupujesz drogi system punktu sprzedaży", powiedział. "Ale gdy zostaniesz skompromitowany, Visa i Mastercard przychodzą po kupca, nie ma żadnego poziomu odpowiedzialności za procesor, sprzedawcę lub za pomocą karty Visa Mastercard, więc kupcem jest osoba, która cierpi."

Pozew twierdzi, że Visa ostrzegała Radianta i Computer World, że nie są zgodne z PCI na rok przed włamaniem, ale kupcy nigdy nie zostali powiadomieni o tych problemach, mimo że to oni ostatecznie musieli płacić wysokie grzywny.

To jest prawdziwy problem, - powiedział Avivah Litan, analityk z firmy badawczej Gartner. "Sprzedawcy powinni być powiadamiani bezpośrednio, gdy Visa lub MasterCard wyda ostrzeżenia o niezgodnym oprogramowaniu", powiedziała w wywiadzie e-mail. "Restauracje zajmują się sprzedażą żywności, nie należy oczekiwać, że będą ekspertami w zakresie procesów certyfikacji procesów przetwarzania kart kredytowych, zwłaszcza gdy nie znają nawet większości otaczających je komunikatów."

Radiant ostrzegł o problemie, zgodnie z ostrzeżeniem o niebezpieczeństwie wysłanym przez dystrybutora Radianta w rejonie Zatoki San Francisco. Ostrzeżenie ostrzegało użytkowników Aloha, aby wyłączyć funkcję pulpitu zdalnego na swoim sprzęcie, jeśli nie jest ona używana do zapewnienia zdalnego wsparcia dla systemu punktu sprzedaży. Skarżący w pozwie Bonda twierdzą, że nie otrzymali takiego ostrzeżenia. Computer World nie odpowiedział na prośbę o komentarz do tego artykułu.

Według Bonda, Computer World użył tej funkcji pulpitu zdalnego, aby uzyskać dostęp do swoich systemów. Co gorsza, Computer World założył swoją restaurację i inne restauracje z tym samym domyślnym hasłem: "Komputer", powiedział Bond.