Restauranter Sue-leverandører etter salgshack

Når Keith Bond kjøpte et datastyrt kassaapparat for sin Broussard, Louisiana, restaurant, trodde han at han moderniserte sin restaurant. I dag tror han at han uvitende åpnet en bakdør for rumenske hackere som nå har kostet ham mer enn US $ 50 000.

Bond's er en av mer enn et halvt dusin Louisiana-restauranter som har saksøkt produsentene av deres point-of- salgssystem, som hevder at selskapene som produserte og videresolgte systemene, er de som burde være ansvarlige for bøter som betales av betalingsprosessorer etter hacken.

Hans historie lyder som en advarsel for små bedrifter, som i å knytte sine virksomheter til Internett, har også blitt byttedyr for sofistikerte cyberkriminelle.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Bond sier at systemene på Mel's Diner, del II, ble hacket sammen med flere andre restauranter i regionen, en gang rundt mars 2008. Etterforskerne fortalte ham at systemene ble kompromittert av rumenske hackere som brukte enhetens fjerntilgangsprogramvare til å stjele kredittkortnumre fra systemene. Denne programvaren lar Bonds forhandler, Computer World, yte ekstern støtte til systemene. De kriminelle tok disse kredittkortnummerene og brukte dem til å foreta svindelskjøp i hele USA, sa han.

I klageaksjonen anklager Bond og de andre saksøkerne at deres salgssteder ikke var i samsvar med PCI DSS-kortet (Payment Card Industry Data Security Standard), som definerer hvor sikker de store kredittkortselskapene forventer at deres selgeres datamaskiner skal være. Bond og andre klander produsenten av hans Aloha-salgssted, Radiant Systems, og sin Louisiana-forhandler, Computer World (Computer World er ikke relatert til IDGs ComputerWorld-magasin). Etter at hacket hadde hatt Bond, måtte han tilbringe nær til $ 20.000 for å revidere sine systemer. Han ble deretter vurdert tusenvis av dollar i bøter og tilbakebetaling avgifter generert av de 699 kredittkortnumrene som ble stjålet fra sine tre salgssteder.

"Våre kunder er restauranter," sa Bonds advokat Charles Hoff, i en uttalelse. "De er mateksperter, ikke teknikere. Når store aktører i gjestfrihetsbransjen som Radiant Systems og distributørene sier at deres programvare og forretningspraksis er PCI-DSS-kompatible, klientene våre stoler på dem."

Klageaksjonen var arkivert i oktober, men var ikke kjent før personvern bloggen DataBreaches.net avslørte det forrige uke. En annen lignende sak ble sendt inn mot Radiant og Computer World i april av saksøkerne i Georgia.

Siterte selskapets politikk, en radiant talskvinne nektet å kommentere søksmålene, men i en e-post uttalelse sa hun at selskapet mener at selskapet påstander er uten fortjeneste. "Disse kundene ble offer for kriminelle handlinger for nesten to år siden. Dessverre er kriminelle handlinger som disse i dag ikke uvanlig i restaurantbransjen, sier uttalelsen.

Bond kjøper ikke det. "Du kjøper et dyrt salgssystem," sa han. "Men når du går på kompromiss, kommer Visa og Mastercard etter kjøpmannen. Det er ingen ansvarsnivå hos prosessoren, forhandleren eller med Visa Mastercard. Så handleren er den som lider."

Saken hevder at Visa advarte Radiant og Computer World at de ikke var PCI-kompatible året før hacken, men at handlerne aldri ble varslet om disse problemene, selv om de var de som til slutt måtte betale store bøter.

Det er et reelt problem, sa Avivah Litan, en analytiker hos Gartnerforskningsfirmaet. "Kjøpmenn bør bli varslet direkte når Visa eller MasterCard utsteder varsel om ikke-kompatibel programvare," sa hun i et e-postintervju. "Restauranter er i forretningen med å selge mat, de bør ikke forventes å være eksperter i vanskelighetene med kredittkortbehandling sertifiseringsprosesser, spesielt når de ikke engang er privilegert overfor de fleste kommunikasjonene som omgir dem."

Radiant advarte om problemet, ifølge et sikkerhetsvarsel som ble postet av en San Francisco Bay Area Radiant forhandler. Alarmen advarte Aloha-brukere om å deaktivere en eksternt skrivebordsfunksjon på utstyret dersom det ikke brukes til å yte ekstern støtte til salgsstedet. Saksøkerne i Bonds søksmål sier at de ikke har mottatt slike advarsler. Computer World reagerte ikke på en forespørsel om kommentar til denne artikkelen.

Ifølge Bond brukte Computer World denne Remote Desktop-funksjonen til å få tilgang til sine systemer. For å gjøre saken verre, hadde Computer World opprettet sine og andre restauranter med samme standardpassord: "Computer", sa Bond.