Restaurantes Sue Vendors Após o Ponto de Venda Hack

Quando Keith Bond comprou um sistema de caixa registradora computadorizado para seu restaurante Broussard, Louisiana, ele pensou que estava modernizando seu restaurante. Hoje, ele acredita estar inadvertidamente abrindo uma porta dos fundos para os hackers romenos que agora lhe custaram mais de US $ 50.000. O Bond's é um dos mais de meia dúzia de restaurantes da Louisiana que processaram os fabricantes de seus pontos de vista. sistema de venda, alegando que as empresas que fizeram e revendidos os sistemas são as que deveriam ser responsáveis ​​pelas multas aplicadas pelos processadores de pagamento após o hack.

Sua história parece um alerta para as pequenas empresas, que conectam seus negócios à Internet, também se tornou presa de criminosos cibernéticos sofisticados.

[Leia mais: Como remover malware do seu PC com Windows]

Bond diz que os sistemas em seu Mel's Diner, Parte II, foram hackeados, juntamente com vários outros restaurantes da região, por volta de março de 2008. Os investigadores disseram a ele que os sistemas foram comprometidos por hackers romenos que usaram o software de acesso remoto dos dispositivos para roubar números de cartão de crédito dos sistemas. Este software permite que o revendedor da Bond, a Computer World, forneça suporte remoto aos sistemas. Os criminosos pegaram esses números de cartões de crédito e os usaram para fazer compras fraudulentas em todos os Estados Unidos, disse ele.

Na ação coletiva, Bond e os outros autores alegam que seus sistemas de ponto de venda estavam fora de conformidade. com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), que define o grau de segurança que as grandes empresas de cartão de crédito esperam que os computadores dos seus comerciantes sejam. Bond e outros culpam o fabricante de seu sistema de ponto de venda Aloha, a Radiant Systems, e seu revendedor da Louisiana, Computer World (Computer World não está relacionado à revista ComputerWorld da IDG). para US $ 20.000 para auditar seus sistemas. Ele foi então avaliado em dezenas de milhares de dólares em multas e taxas de chargeback geradas pelos 699 números de cartão de crédito que foram roubados de seus três dispositivos de ponto de venda. "Nossos clientes são restaurantes", disse o advogado de Bond, Charles Hoff., em um comunicado. "Eles são especialistas em alimentos, não tecnólogos. Quando grandes empresas do setor de hospitalidade, como a Radiant Systems e seus distribuidores, dizem que suas práticas de software e negócios são compatíveis com PCI-DSS, nossos clientes confiam nelas". arquivado em outubro, mas não era amplamente conhecido até o blog de privacidade DataBreaches.net divulgou na semana passada. Outra ação semelhante foi impetrada contra a Radiant e a Computer World em abril por demandantes na Geórgia.

Citando a política da empresa, uma porta-voz da Radiant se recusou a comentar sobre as ações, mas em um comunicado enviado por e-mail, ela disse que a empresa acredita que o alegações são sem mérito. "Esses clientes foram vítimas de atos criminosos há quase dois anos. Infelizmente, no mundo de hoje, atos criminosos como esses não são incomuns na indústria de restaurantes", dizia o comunicado.

Bond não acredita nisso. "Você está comprando um caro sistema de ponto de venda", disse ele. "Mas quando você está comprometido, Visa e Mastercard vêm atrás do comerciante. Não há nenhum nível de responsabilidade com o processador, o revendedor ou com o Visa Mastercard. Então o comerciante é a pessoa que está sofrendo."

O processo alega que A Visa avisou a Radiant e a Computer World que não estavam em conformidade com PCI no ano anterior ao hack, mas que os comerciantes nunca foram notificados desses problemas, embora tenham sido os que tiveram que pagar multas altas.

Esse é um problema real. disse Avivah Litan, analista da firma de pesquisa Gartner. "Os comerciantes devem ser avisados ​​diretamente quando a Visa ou a MasterCard emitirem alertas sobre software não compatível", disse ela em entrevista por e-mail. "Os restaurantes estão no negócio de venda de alimentos; não se deve esperar que eles sejam especialistas nas complexidades dos processos de certificação de processamento de cartão de crédito, especialmente quando eles não estão a par da maioria das comunicações que os cercam."

Radiant alertou sobre o problema, de acordo com um alerta de segurança postado por um revendedor da área de San Francisco Bay Area Radiant. O alerta alertou os usuários do Aloha para que desabilitem um recurso de Área de Trabalho Remota em seus equipamentos, caso não estejam sendo usados ​​para fornecer suporte remoto ao sistema de ponto de venda. Os queixosos do processo de Bond dizem que não receberam tal alerta. A Computer World não respondeu a um pedido de comentário sobre este artigo.

De acordo com Bond, a Computer World usou esse recurso de Área de Trabalho Remota para acessar seus sistemas. Para piorar a situação, a Computer World montou seus e outros restaurantes com a mesma senha padrão: "Computador", disse Bond.