Restoran Sue Vendors After Point-of-sale Hack

Apabila Keith Bond membeli sistem daftar tunai berkomputer untuk restoran Broussard, Louisiana, dia menganggap beliau sedang memodenkan restorannya. Hari ini, dia percaya dia tidak sengaja membuka pintu belakang untuk penggodam Romania yang kini telah menelan belanja lebih daripada AS $ 50,000.

Bond adalah salah satu daripada lebih daripada lusin restoran Louisiana yang telah menuduh para pembuat titik- sistem jualan, mendakwa bahawa syarikat-syarikat yang membuat dan menjual semula sistem itu adalah orang-orang yang harus bertanggungjawab terhadap denda yang dikenakan oleh pemproses pembayaran berikutan peretasan itu.

Kisahnya berbunyi sebagai peringatan untuk perniagaan kecil, yang dalam menghubungkan perniagaan mereka ke

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC Anda]

Bond mengatakan bahawa sistem di Mel's Diner, Bahagian II, telah digodam, bersama dengan beberapa yang lain restoran di rantau ini, sekitar Mac 2008. Penyiasat memberitahu bahawa sistem itu telah dikompromi oleh penggodam Romania yang menggunakan perisian akses jauh untuk mencuri nombor kad kredit daripada sistem. Perisian ini membolehkan penjual semula Bond, Computer World, memberikan sokongan jauh kepada sistem. Para penjenayah mengambil nombor kad kredit itu dan kemudian menggunakannya untuk membuat pembelian palsu di seluruh AS, katanya.

Dalam gugatan aksi kelas, Bond dan plaintif lain menyatakan bahawa sistem titik jualan mereka tidak mematuhi dengan Standard Keselamatan Data Industri Kad Pembayaran (PCI DSS), yang menentukan bagaimana syarikat-syarikat kad kredit besar mengharapkan komputer pedagang mereka. Bond dan yang lain menyalahkan pembuat sistem jualan Aloha, Radiant Systems, dan reseller Louisiana, Computer World (Computer World tidak berkaitan dengan majalah ComputerWorld IDG).

Selepas peretasan, Bond terpaksa membelanjakan hampir kepada $ 20,000 untuk mengaudit sistemnya. Beliau kemudiannya menilai puluhan ribu dolar dalam denda dan yuran caj balik yang dihasilkan oleh 699 nombor kad kredit yang dicuri dari tiga alat jualannya.

"Pelanggan kami adalah restoran," kata peguam Bond, Charles Hoff, dalam satu kenyataan. "Mereka adalah pakar makanan, bukan ahli teknologi.Waktu pemain utama dalam industri perhotelan seperti Radiant Systems dan para pengedarnya mengatakan perisian dan praktik perniagaan mereka mematuhi PCI-DSS, pelanggan kami mempercayai mereka."

Tuntutan tindakan kelas adalah difailkan pada bulan Oktober tetapi tidak diketahui umum sehingga blog privasi DataBreaches.net mendedahkannya minggu lalu. Satu lagi tuntutan yang sama telah difailkan terhadap Radiant dan Computer World pada bulan April oleh plaintif di Georgia.

Mengutip dasar syarikat, seorang jurucakap Radiant enggan mengulas mengenai tuntutan undang-undang, tetapi dalam kenyataan e-pos, dia berkata bahawa syarikat itu percaya bahawa tuduhan tidak mempunyai merit. "Pelanggan-pelanggan ini adalah mangsa jenayah hampir dua tahun yang lalu, malangnya, dalam perbuatan jenayah dunia hari ini tidak biasa di industri restoran," kata kenyataan itu. "Anda membeli sistem jualan yang mahal," katanya. "Tetapi apabila anda dikompromikan, Visa dan Mastercard datang selepas peniaga. Tidak ada tahap tanggungjawab dengan pemproses, reseller atau dengan Visa Mastercard, jadi pedagang adalah orang yang menderita."

Tuntutan tuntutan bahawa Visa memberi amaran kepada Radiant dan Computer World bahawa mereka tidak mematuhi PCI tahun sebelum hack itu, tetapi pedagang tidak pernah diberitahu tentang masalah ini, walaupun mereka yang akhirnya harus membayar denda besar.

Itu masalah yang sebenarnya, kata Avivah Litan, seorang penganalisis dengan firma penyelidikan Gartner. "Pedagang perlu dimaklumkan secara langsung apabila isu Visa atau MasterCard memberi amaran mengenai perisian yang tidak patuh," katanya dalam temu bual e-mel. "Restoran adalah perniagaan menjual makanan; mereka tidak seharusnya dijangka menjadi pakar dalam selok-belok proses pensijilan pemprosesan kad kredit, terutamanya apabila mereka tidak mengetahui banyak komunikasi di sekeliling mereka."

Radiant memberi amaran tentang masalah itu, menurut amaran keselamatan yang disiarkan oleh reseller Radiant Area Area San Francisco Bay. Amaran tersebut memberi amaran kepada pengguna Aloha untuk mematikan ciri Remote Desktop pada peralatan mereka jika ia tidak digunakan untuk memberikan sokongan jauh ke sistem titik jualan. Plaintif dalam tuntutan undang-undang Bond berkata mereka tidak menerima sebarang amaran sedemikian. Komputer Dunia tidak menjawab permintaan untuk mengulas mengenai artikel ini.

Menurut Bond, Computer World menggunakan ciri Remote Desktop ini untuk mengakses sistemnya. Untuk membuat perkara yang lebih teruk, Computer World telah menubuhkan restorannya dan lain-lain dengan kata laluan lalai yang sama: "Komputer," kata Bond.