Restaurants Sue Vendors After Point-of-sale-hack

Zijn verhaal leest als een waarschuwing voor kleine bedrijven, die in het verbinden van hun bedrijven met de Internet, zijn ook prooi geworden voor geavanceerde cybercriminelen.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Bond zegt dat systemen in zijn Mel's Diner, deel II, zijn gehackt, samen met verschillende andere restaurants in de regio, ergens rond maart 2008. Onderzoekers vertelden hem dat de systemen werden aangetast door Roemeense hackers die de remote access software van de apparaten gebruikten om creditcardnummers van de systemen te stelen. Met deze software kon de wederverkoper van Bond, Computer World, de systemen op afstand ondersteunen. De criminelen namen die creditcardnummers en gebruikten ze vervolgens om frauduleuze aankopen te doen in de hele VS, zei hij.

In de class-action-rechtszaak beweren Bond en de andere aanklagers dat hun kassasystemen niet in overeenstemming waren met de Payment Card Industry Data Security Standard (PCI DSS), die definieert hoe veilig de grote creditcardbedrijven verwachten dat de computers van hun handelaars zijn. Bond en anderen beschuldigen de maker van zijn Aloha-verkooppuntsysteem, Radiant Systems, en zijn reseller uit Louisiana, Computer World (Computer World is niet gerelateerd aan het ComputerWorld-magazine van IDG).

Na de hack moest Bond geld uitgeven tot $ 20.000 om zijn systemen te auditen. Vervolgens beoordeelde hij tienduizenden dollars aan boetes en terugvorderingskosten die waren gegenereerd door de 699 creditcardnummers die waren gestolen uit zijn drie apparaten voor verkooppunten.

"Onze klanten zijn restaurants", zei Bond's advocaat, Charles Hoff, in een verklaring. "Het zijn foodexperts, geen technologen. Wanneer grote spelers in de horecabranche zoals Radiant Systems en zijn distributeurs zeggen dat hun software en bedrijfspraktijken PCI-DSS-compatibel zijn, vertrouwen onze klanten hen."

ingediend in oktober, maar was niet algemeen bekend totdat het privacyblog DataBreaches.net het vorige week openbaarde. Een andere soortgelijke rechtszaak werd in april ingediend tegen Radiant en Computer World door aanklagers in Georgië.

Onder verwijzing naar het bedrijfsbeleid weigerde een woordvoerster van Radiant commentaar te geven op de rechtszaken, maar in een verklaring per e-mail zei ze dat het bedrijf van mening is dat beschuldigingen zijn ongegrond. "Deze klanten waren bijna twee jaar geleden het slachtoffer van misdaden, maar helaas zijn criminele handelingen in deze wereld niet ongebruikelijk in de restaurantindustrie," aldus de verklaring. Bond koopt dat niet. "U koopt een duur kassasysteem", zei hij. "Maar als je in de problemen raakt, komen Visa en Mastercard achter de handelaar aan, er is geen verantwoordelijkheidsgevoel met de processor, de reseller of met Visa Mastercard.De handelaar is dus de persoon die lijdt."

De rechtszaak beweert dat Visa waarschuwde Radiant en Computer World dat ze het jaar voor de hack niet PCI-compatibel waren, maar dat verkopers nooit op de hoogte werden gesteld van deze problemen, hoewel ze degenen waren die uiteindelijk hoge boetes moesten betalen. Dat is een echt probleem, zei Avivah Litan, een analist bij het Gartner-onderzoeksbureau. "Handelaren moeten direct op de hoogte worden gesteld wanneer Visa of MasterCard waarschuwingen uiten over niet-conforme software", zei ze in een e-mailinterview. "Restaurants zijn bezig met de verkoop van voedingsmiddelen, er mag niet van hen worden verwacht dat ze experts zijn in de fijne kneepjes van de certificeringsprocessen voor creditcardverwerking, vooral wanneer ze niet eens bekend zijn met de meeste communicatie om hen heen."

Radiant waarschuwde voor het probleem, volgens een beveiligingswaarschuwing van een wederverkoper in de stralende zone van San Francisco Bay Area. De waarschuwing waarschuwde Aloha-gebruikers om een ​​Remote Desktop-functie op hun apparatuur uit te schakelen als deze niet wordt gebruikt om ondersteuning op afstand aan het kassasysteem te bieden. De aanklagers in Bond's rechtszaak zeggen dat ze niet zo'n waarschuwing hebben ontvangen. Computer World heeft niet gereageerd op een verzoek om commentaar op dit artikel.

Volgens Bond heeft Computer World deze Remote Desktop-functie gebruikt om toegang te krijgen tot zijn systemen. Tot overmaat van ramp had Computer World zijn en andere restaurants opgezet met hetzelfde standaardwachtwoord: 'Computer', zei Bond.