Mga Restaurant Sue Vendors Pagkatapos Point-of-sale Hack

Nang bumili si Keith Bond ng computerized cash register system para sa kanyang Broussard, Louisiana, restaurant, inisip niya na nagpapabago siya ng kanyang restaurant. Sa ngayon, naniniwala siya na di-sinasadyang binubuksan niya ang isang pinto sa likod para sa mga hacker ng Romania na ngayon ay nagkakahalaga ng higit sa US $ 50,000.

Ang Bond ay isa sa higit sa isang kalahating dosena na mga restawran ng Louisiana na nanalong sa mga gumagawa ng kanilang point-of- ang sistema ng pagbebenta, na nagpapahiwatig na ang mga kumpanya na gumawa at muling ibenta ang mga sistema ay ang mga dapat na maging responsable para sa mga multa na ipinapataw sa pamamagitan ng mga processor ng pagbabayad kasunod ng hack.

Ang kanyang kuwento ay nagbabasa tulad ng isang babala para sa mga maliliit na negosyo, na sa pagkonekta sa kanilang mga negosyo sa

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Sinasabi ng Bond na ang mga system sa kanyang Mel's Diner, Part II, ay na-hack, kasama ang ilan pang iba mga restawran sa rehiyon, minsan sa paligid ng Marso 2008. Sinabi sa kanya ng mga imbestigador na ang mga sistema ay nakompromiso ng mga taga-Romania na mga hacker na gumamit ng remote access software ng device upang magnakaw ng mga numero ng credit card mula sa mga system. Ang software na ito ay nagpapahintulot sa muling tagapagbenta ng Bonds, Computer World, magbigay ng malayuang suporta sa mga sistema. Ang mga kriminal ay kumuha ng mga numero ng credit card at pagkatapos ay ginamit ang mga ito upang gumawa ng mga panlilinlang na pagbili sa buong Estados Unidos, sinabi niya.

Sa kaso ng class-action, si Bond at ang iba pang mga nagsasakdal ay nagsabi na ang kanilang mga punto ng sale system ay hindi sumunod na may Data Industry Security Security Standard (PCI DSS) ng Pagbabayad Card, na tumutukoy kung gaano ligtas ang mga malalaking kumpanya ng credit card na inaasahan ang mga computer ng kanilang mga mangangalakal. Sinisisi ng Bond at iba pa ang gumagawa ng kanyang sistema ng Point-of-Sale ng Aloha, Radiant Systems, at Louisiana reseller nito, Computer World (Computer World ay walang kaugnayan sa ComputerWorld magazine ng IDG).

sa $ 20,000 upang i-audit ang kanyang mga sistema. Pagkatapos ay tinasa niya ang sampu-sampung libong dolyar sa mga multa at chargeback fee na nabuo ng 699 na mga numero ng credit card na ninakaw mula sa kanyang tatlong punto ng mga kagamitan sa pagbebenta.

"Ang aming mga kliyente ay mga restawran," sabi ni abogado ni Bond, si Charles Hoff, sa isang pahayag. "Ang mga ito ay mga dalubhasa sa pagkain, hindi ang mga technologist. Kapag ang mga pangunahing manlalaro sa industriya ng mabuting pakikitungo tulad ng Radiant Systems at mga distributor nito ay nagsasabi na ang kanilang software at mga gawi sa negosyo ay sumusunod sa PCI-DSS, ang mga kliyente ay nagtitiwala sa kanila."

nag-file noong Oktubre ngunit hindi alam ng marami hanggang sa ibinunyag ng privacy ng blog na DataBreaches.net noong nakaraang linggo. Ang isa pang katulad na kaso ay isinampa laban sa Radiant and Computer World noong Abril ng mga nagsasakdal sa Georgia.

Binabanggit ang patakaran ng kumpanya, ang isang Radiant spokeswoman ay tumanggi na magkomento sa mga lawsuits, ngunit sa isang e-mail na pahayag, sinabi niya na ang kumpanya ay naniniwala na ang ang mga paratang ay walang merito. "Ang mga kostumer na ito ay mga biktima ng kriminal na mga gawain halos dalawang taon na ang nakakalipas. Sa kasamaang palad, sa mga kriminal na gawain sa mundo ngayon tulad ng mga ito ay hindi bihira sa industriya ng restaurant," ang pahayag na nabasa.

Bond ay hindi binili iyon. "Binibili mo ang isang mahal na sistema ng pagbebenta ng punto," sabi niya. "Ngunit kapag naka-kompromiso ka, ang Visa at Mastercard ay sumunod sa negosyante. Walang antas ng pananagutan sa processor, reseller o sa Visa Mastercard, kaya ang merchant ay ang taong nagdurusa."

Sinasabi ng kaso na Binabalaan ng Visa ang Radiant and Computer World na hindi sila PCI na sumusunod sa taon bago ang pag-hack, ngunit ang mga negosyante ay hindi kailanman napansin sa mga problemang ito, kahit na sila ay ang mga taong kailangang bayaran ang malaking multa.

Iyan ay isang tunay na problema, Sinabi Avivah Litan, isang analyst sa Gartner pananaliksik kompanya. "Ang mga negosyante ay dapat na maabisuhan nang direkta kapag ang mga isyu sa Visa o MasterCard ay mga alerto tungkol sa hindi sumusunod na software," sabi niya sa isang interbyu sa e-mail. "Ang mga restawran ay nasa negosyo ng pagbebenta ng pagkain, hindi dapat sila inaasahang maging eksperto sa mga intricacies ng mga proseso ng sertipikasyon sa pagproseso ng credit card, lalo na kung hindi sila nakakaalam sa karamihan ng mga komunikasyon na nakapalibot sa kanila."

Ang nagbabantang nagbabala tungkol sa problema, ayon sa isang alerto sa seguridad na nai-post ng isang San Francisco Bay Area Radiant reseller. Ang alerto ay nagbabala sa mga gumagamit ng Aloha na huwag paganahin ang isang tampok na Remote Desktop sa kanilang kagamitan kung hindi ito ginagamit upang magbigay ng remote na suporta sa sistema ng punto ng pagbebenta. Ang mga nagsasakdal sa kaso ng Bond ay nagsabi na hindi sila nakatanggap ng naturang alerto. Ang Computer World ay hindi tumugon sa isang kahilingan para sa komento sa artikulong ito.

Ayon sa Bond, Computer World ginamit ang tampok na Remote Desktop upang ma-access ang kanyang mga system. Upang mas malala ang problema, itinakda ng Computer World ang kanyang at iba pang mga restaurant na may parehong default na password: "Computer," sinabi ni Bond.