Ristoranti Sue Vendor dopo Hack Point-of-sale

Quando Keith Bond acquistò un sistema di registratore di cassa computerizzato per il suo ristorante Broussard, in Louisiana, pensò che stava modernizzando il suo ristorante. Oggi, crede di aver involontariamente aperto una porta sul retro per gli hacker rumeni che ora gli sono costati più di 50.000 dollari.

Bond's è uno dei più di una mezza dozzina di ristoranti della Louisiana che hanno fatto causa ai produttori del loro punto di sistema di vendita, sostenendo che le società che hanno realizzato e rivenduto i sistemi sono quelle che dovrebbero essere responsabili delle multe prelevate dai processori di pagamento in seguito all'hack.

La sua storia si legge come un avvertimento per le piccole imprese, che nel collegare le loro attività al Internet, sono anche diventati preda di criminali informatici sofisticati.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Bond dice che i sistemi del suo Mel's Diner, Parte II, sono stati hackerati, insieme a molti altri ristoranti nella regione, intorno a marzo 2008. Gli investigatori gli hanno riferito che i sistemi sono stati compromessi dagli hacker rumeni che hanno utilizzato il software di accesso remoto dei dispositivi per rubare i numeri delle carte di credito dai sistemi. Questo software consente al rivenditore di Bond, Computer World, di fornire supporto remoto ai sistemi. I criminali hanno preso quei numeri di carta di credito e li hanno poi utilizzati per effettuare acquisti fraudolenti negli Stati Uniti, ha detto.

Nella causa contro l'azione collettiva, Bond e gli altri querelanti affermano che i loro sistemi di punto vendita non erano conformi con lo standard PCI DSS (Payment Card Industry Data Security), che definisce la sicurezza che le grandi società di carte di credito si aspettano che i computer dei loro commercianti siano. Bond e altri incolpano il produttore del suo sistema di punti vendita Aloha, Radiant Systems, e il suo rivenditore della Louisiana, Computer World (Computer World non è legato alla rivista ComputerWorld di IDG).

Dopo l'hack, Bond ha dovuto passare vicino a $ 20.000 per controllare i suoi sistemi. Fu quindi valutato decine di migliaia di dollari in multe e tasse di chargeback generate dai 699 numeri di carte di credito rubate dai suoi tre dispositivi di punto vendita.

"I nostri clienti sono ristoranti", ha detto l'avvocato di Bond, Charles Hoff, in una dichiarazione. "Sono esperti del settore alimentare e non tecnici. Quando i principali attori nel settore dell'ospitalità come Radiant Systems e i suoi distributori dicono che il loro software e le pratiche commerciali sono conformi allo standard PCI-DSS, i nostri clienti si fidano di loro."

La causa dell'azione collettiva era presentata nel mese di ottobre ma non era molto conosciuta fino a quando il blog sulla privacy DataBreaches.net non l'ha rivelato la settimana scorsa. Un'altra causa simile è stata presentata a Radiant e Computer World ad aprile da querelanti in Georgia.

Citando la politica aziendale, una portavoce Radiant ha rifiutato di commentare le cause, ma in una dichiarazione via e-mail, ha detto che la società ritiene che il le accuse sono senza merito. "Questi clienti sono stati vittime di atti criminali quasi due anni fa. Sfortunatamente, nel mondo di oggi, atti criminali come questi non sono rari nel settore della ristorazione", afferma la dichiarazione.

Bond non lo compra. "Stai acquistando un costoso sistema di punti vendita", ha detto. "Ma quando sei compromesso, Visa e Mastercard arrivano dopo il commerciante: non c'è alcun livello di responsabilità nei confronti del processore, del rivenditore o con Visa Mastercard." Quindi il mercante è la persona che sta soffrendo. "

La causa sostiene che Visa ha avvertito Radiant e Computer World che non erano conformi allo standard PCI l'anno prima dell'hack, ma che i mercanti non erano mai stati informati di questi problemi, anche se erano loro che alla fine dovevano pagare grosse multe.

Questo è un problema reale, ha detto Avivah Litan, un analista della società di ricerca Gartner. "I commercianti devono essere informati direttamente quando Visa o MasterCard emettono avvisi su software non conforme", ha affermato in un'intervista via e-mail. "I ristoranti sono nel business della vendita di cibo, non dovrebbero essere esperti nella complessità dei processi di certificazione dell'elaborazione delle carte di credito, specialmente quando non sono nemmeno a conoscenza della maggior parte delle comunicazioni che li circondano."

Radiant ha avvertito del problema, secondo un avviso di sicurezza pubblicato da un rivenditore Radiant Area Bay di San Francisco. L'avviso ha avvisato gli utenti di Aloha di disabilitare una funzionalità Desktop remoto sul proprio dispositivo se non viene utilizzata per fornire supporto remoto al sistema POS. I querelanti della causa legale di Bond affermano di non aver ricevuto tale allerta. Computer World non ha risposto a una richiesta di commento su questo articolo.

Secondo Bond, Computer World ha utilizzato questa funzionalità di Desktop remoto per accedere ai suoi sistemi. A peggiorare le cose, Computer World aveva creato il suo e altri ristoranti con la stessa password predefinita: "Computer", disse Bond.