Restaurants Sue-Anbieter nach Point-of-Sale-Hack

Als Keith Bond ein computergestütztes Kassensystem für sein Restaurant Broussard, Louisiana, kaufte, dachte er, er modernisierte sein Restaurant. Heute glaubt er, dass er unwissentlich eine Hintertür für rumänische Hacker geöffnet hat, die ihn jetzt mehr als 50.000 US-Dollar gekostet haben.

Bond's ist eines von mehr als einem halben Dutzend Restaurants in Louisiana, die die Macher ihres Standpunkts verklagt haben. Englisch: www.mjfriendship.de/en/index.php?op…=view&id=167 Verkaufssystem, dass die Unternehmen, die die Systeme hergestellt und weiterverkauft haben, diejenigen sind, die für Geldstrafen verantwortlich sein sollten, die von den Zahlungsverarbeitern erhoben werden.

Seine Geschichte liest sich wie eine Warnung für kleine Unternehmen, die ihre Geschäfte mit dem Internet verbinden Das Internet ist auch für ausgeklügelte Cyber-Kriminelle zur Beute geworden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Bond sagt, dass Systeme in seinem Mels Diner, Teil II, gehackt wurden, zusammen mit einigen anderen Restaurants in der Region, irgendwann im März 2008. Die Ermittler sagten ihm, dass die Systeme von rumänischen Hackern kompromittiert wurden, die die Fernzugriffssoftware der Geräte benutzten, um Kreditkartennummern aus den Systemen zu stehlen. Diese Software ermöglichte Bond-Reseller, Computer World, Remote-Support für die Systeme. Die Kriminellen nahmen diese Kreditkartennummern und benutzten sie dann, um betrügerische Käufe in den ganzen USA zu tätigen, sagte er.

In der Sammelklage behaupten Bond und die anderen Kläger, dass ihre Kassensysteme nicht konform waren mit dem Kreditkartensicherheitsstandard (PCI DSS), der definiert, wie sicher die großen Kreditkartenunternehmen die Computer ihrer Händler erwarten. Bond und andere beschuldigen den Hersteller seines Aloha Point-of-Sale-Systems, Radiant Systems, und seinen Wiederverkäufer in Louisiana, Computer World (Computer World ist nicht verwandt mit IDGs ComputerWorld-Magazin).

Nach dem Hack musste Bond knapp ausharren zu $ 20.000, um seine Systeme zu überprüfen. Er wurde dann Zehntausende von Dollar in Geldstrafen und Rückbuchungsgebühren, die durch die 699 Kreditkartennummern, die von seinen drei Point-of-Sale-Geräten gestohlen wurden, generiert.

"Unsere Kunden sind Restaurants", sagte Bond Anwalt, Charles Hoff, in einer Stellungnahme. "Sie sind Nahrungsmittelexperten, keine Technologen. Wenn große Player in der Hotellerie wie Radiant Systems und ihre Distributoren sagen, dass ihre Software und Geschäftspraktiken PCI-DSS-konform sind, vertrauen unsere Kunden ihnen."

Die Sammelklage war eingereicht im Oktober, aber war nicht weit bekannt, bis der Datenschutz-Blog DataBreaches.net es letzte Woche bekannt gab. Eine weitere ähnliche Klage wurde im April gegen Radiant und Computer World von Klägern in Georgia eingereicht.

Unter Berufung auf Unternehmenspolitik, eine Radiant Sprecherin lehnte es ab, die Klagen zu kommentieren, aber in einer E-Mail-Erklärung sagte sie, dass das Unternehmen glaubt, dass die Behauptungen sind ohne Verdienst. "Diese Kunden waren vor fast zwei Jahren Opfer krimineller Handlungen. Leider sind solche kriminellen Machenschaften in der heutigen Zeit in der Gastronomie keine Seltenheit", heißt es in der Stellungnahme.

Bond kauft das nicht. "Sie kaufen ein teures Point-of-Sale-System", sagte er. "Aber wenn Sie kompromittiert werden, kommen Visa und Mastercard nach dem Händler. Es gibt keine Verantwortungsebene mit dem Verarbeiter, dem Wiederverkäufer oder mit Visa Mastercard. Also ist der Händler die Person, die leidet."

Die Klage behauptet, dass Visa warnte Radiant und Computer World, dass sie im Jahr vor dem Hack nicht PCI-konform waren, aber dass Händler nie über diese Probleme informiert wurden, obwohl sie diejenigen waren, die letztendlich hohe Geldstrafen zahlen mussten.

Das ist ein echtes Problem, sagte Avivah Litan, eine Analystin des Gartner-Forschungsunternehmens. "Händler sollten direkt benachrichtigt werden, wenn Visa oder MasterCard Warnungen über nicht konforme Software ausstellt", sagte sie in einem E-Mail-Interview. "Restaurants sind im Geschäft des Essensverkaufs; sie sollten nicht erwartet werden, Experten in den Feinheiten des Prozesses der Kreditkartenverarbeitungzertifizierung zu sein, besonders wenn sie nicht einmal in die meisten Kommunikationen, die sie umgeben, eingeweiht werden."

Radiant warnte vor dem Problem, laut einer Sicherheitswarnung, die von einem San Francisco Bay Area Radiant Reseller veröffentlicht wurde. Die Warnung warnte Aloha-Benutzer, eine Remotedesktop-Funktion auf ihren Geräten zu deaktivieren, wenn sie nicht dazu verwendet wird, Remote-Support für das Point-of-Sale-System bereitzustellen. Die Kläger in Bonds Prozess sagen, sie hätten keine solche Warnung erhalten. Computer World reagierte nicht auf eine Anfrage für einen Kommentar zu diesem Artikel.

Laut Bond verwendete Computer World diese Remotedesktop-Funktion, um auf seine Systeme zuzugreifen. Um das Ganze noch schlimmer zu machen, hatte Computer World sein und andere Restaurants mit demselben Standardpasswort eingerichtet: "Computer", sagte Bond.