Restaurants Sue Vendeurs après le point de vente Hack

Lorsque Keith Bond a acheté un système de caisse enregistreuse informatisé pour son restaurant Broussard, en Louisiane, il pensait moderniser son restaurant. Aujourd'hui, il croit qu'il ouvrait involontairement une porte dérobée aux pirates roumains qui lui coûtent maintenant plus de 50 000 dollars américains.

Bond est l'un des plus d'une demi-douzaine de restaurants louisianais qui ont poursuivi les fabricants de leur point de vue. système de vente, alléguant que les entreprises qui ont fabriqué et revendu les systèmes sont celles qui devraient être responsables des amendes imposées par les processeurs de paiement après le piratage.

Son histoire se lit comme un avertissement pour les petites entreprises qui relient leurs Internet, sont également devenus la proie des cybercriminels sophistiqués.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Bond dit que les systèmes de son Mel's Diner, Partie II, ont été piratés, ainsi que plusieurs autres Les enquêteurs lui ont dit que les systèmes avaient été compromis par des pirates informatiques roumains qui utilisaient le logiciel d'accès à distance des appareils pour voler les numéros de cartes de crédit des systèmes. Ce logiciel a permis au revendeur de Bond, Computer World, de fournir un support à distance aux systèmes. Les criminels ont pris ces numéros de cartes de crédit et les ont ensuite utilisés pour faire des achats frauduleux à travers les États-Unis.

Dans le recours collectif, Bond et les autres plaignants allèguent que leurs systèmes de points de vente n'étaient pas conformes avec la norme PCI DSS (Payment Card Industry Data Security Standard), qui définit la sécurité que les grandes sociétés de cartes de crédit attendent des ordinateurs de leurs commerçants. Bond et d'autres accusent le fabricant de son système de point de vente Aloha, Radiant Systems, et son revendeur en Louisiane, Computer World (Computer World n'est pas lié au magazine ComputerWorld d'IDG).

Après le hack, Bond devait dépenser près à 20 000 $ pour vérifier ses systèmes. Il a ensuite été évalué à des dizaines de milliers de dollars en amendes et frais de rejet de débit générés par les 699 numéros de cartes de crédit qui ont été volés dans ses trois points de vente.

"Nos clients sont des restaurants", dans un rapport. "Ce sont des experts en alimentation, pas des technologues.Quand les principaux acteurs de l'industrie hôtelière tels que Radiant Systems et ses distributeurs disent que leurs logiciels et leurs pratiques commerciales sont conformes à la norme PCI-DSS, nos clients leur font confiance." déposée en octobre, mais n'était pas largement connue jusqu'à ce que le blog de la vie privée DataBreaches.net l'a révélé la semaine dernière. Une plainte similaire a été déposée contre Radiant and Computer World en avril par des plaignants en Géorgie.

Citant la politique de l'entreprise, une porte-parole de Radiant a refusé de commenter les poursuites, mais dans une déclaration par courrier électronique, elle a déclaré que les allégations sont sans fondement. "Ces clients ont été victimes d'actes criminels il y a près de deux ans, malheureusement, dans le monde d'aujourd'hui, des actes criminels comme ceux-ci ne sont pas rares dans l'industrie de la restauration", dit le communiqué.

Bond n'achète pas cela. "Vous achetez un système de point de vente coûteux", a-t-il dit. "Mais quand vous êtes compromis, Visa et Mastercard viennent après le marchand, il n'y a aucun niveau de responsabilité avec le processeur, le revendeur ou avec Visa Mastercard, donc le commerçant est la personne qui souffre."

La poursuite prétend que Visa a prévenu Radiant et Computer World qu'ils n'étaient pas conformes à la norme PCI l'année précédant le piratage, mais que les commerçants n'ont jamais été informés de ces problèmes, même si ce sont eux qui ont dû payer de lourdes amendes.

a déclaré Avivah Litan, un analyste de la firme de recherche Gartner. «Les commerçants devraient être avisés directement lorsque Visa ou MasterCard émet des alertes au sujet de logiciels non conformes», a-t-elle déclaré lors d'une entrevue par courriel. «Les restaurants vendent de la nourriture, on ne devrait pas s'attendre à ce qu'ils soient des experts dans les subtilités des processus de certification du traitement des cartes de crédit, surtout lorsqu'ils ne sont même pas au courant de la plupart des communications qui les entourent.Radiant a mis en garde contre le problème, selon une alerte de sécurité affichée par un revendeur Radiant Bay Area de San Francisco. L'alerte avertissait les utilisateurs d'Aloha de désactiver une fonctionnalité Bureau à distance sur leur équipement si celle-ci n'était pas utilisée pour fournir un support à distance au système de point de vente. Les plaignants dans le procès de Bond disent qu'ils n'ont pas reçu une telle alerte. Computer World n'a pas répondu à une demande de commentaire sur cet article.

Selon Bond, Computer World a utilisé cette fonction Remote Desktop pour accéder à ses systèmes. Pour aggraver les choses, Computer World avait installé ses restaurants et d'autres avec le même mot de passe par défaut: "Ordinateur", a déclaré Bond.