Ravintolat Sue toimittajat myyntipisteen jälkeen

Kun Keith Bond osti tietokonepohjaisen kassakoneensa Broussardin, Louisianan ravintolalle, hän ajatteli modernisoivan ravintolaansa. Nykyään hän uskoo tietämättään avaa takahuoneen romanialaisille hakkereille, jotka ovat nyt maksaneet hänelle yli 50 000 dollaria.

Bond's on yksi yli puolet tuhansista Louisianan ravintoloista, jotka ovat haastaneet päälliköt, myyntijärjestelmään, joka kertoo, että yritykset, jotka ovat tehneet ja jälleenmyyttäneet järjestelmät, ovat niitä, jotka ovat vastuussa sakkorangaistuksen jälkeisistä maksuprosessoreista perimistä sakkoista.

Hänen tarinansa on kuin varoitus pienyrityksille, jotka liittävät yrityksensä

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Bond kertoo, että hänen Melin Dinerin II osaan kuuluvia järjestelmiä on hakkeroitu, samoin kuin useat muutkin verkkopalvelut alueen ravintoloita noin vuoden 2008 maaliskuun puolessa välissä. Tutkijat kertoivat hänelle, että romanialaiset hakkereita heikensivät järjestelmät, jotka käyttivät laitteiden etäkäyttöohjelmistoa varastamasta luottokorttien numeroita järjestelmistä. Tämä ohjelmisto antaa Bondin jälleenmyyjän, Computer Worldn, tarjota etätukea järjestelmille. Rikolliset ottivat nämä luottokortin numerot ja käyttivät heitä tekemään vilpillisiä ostoksia kaikkialta Yhdysvalloissa.

Bond ja muut kantajat väittävät luokkakanteissa, että niiden myyntipistejärjestelmät eivät täyttäneet (PCI DSS), joka määrittelee, kuinka suuret luottokorttiyhtiöt odottavat kauppiaidensa tietokoneiden turvallisuuden. Bond ja muut syyttävät hänen Aloha-myyntipistemallinsa, Radiant Systemsin ja sen Louisianan jälleenmyyjän, Computer Worldn (Computer World ei ole sidoksissa IDG: n ComputerWorld -lehtiin).

Bondin oli pakko kuluttaa lähellä 20 000 dollariin hänen järjestelmänsä auditointiin. Häntä arvioitiin sitten kymmeniä tuhansia dollareita sakkoihin ja takaisinperintämaksuista, jotka syntyivät hänen 3 myyntipisteen varastetusta 699 luottokortin numerosta.

"Asiakkaamme ovat ravintoloita", kertoi Bondin asianajaja Charles Hoff, lausunnossaan. "Ne ovat elintarvikealan asiantuntijoita, ei teknologia-alan ammattilaisia. Kun suuret toimijat vieraanvaraisuuden alalla, kuten Radiant Systems ja sen jakelijat sanovat, että ohjelmistot ja liiketoimintakäytännöt ovat PCI-DSS-yhteensopivia, asiakkaamme luottavat niihin."

Class action -oikeus oli lokakuuhun, mutta sitä ei tunnettu laajalti, ennen kuin yksityisyyden blogi DataBreaches.net paljasti sen viime viikolla. Yhtiöpolitiikasta, Radiantin edustaja kieltäytyi kommentoimasta oikeudenkäyntejä, mutta sähköpostitse antamassaan lausunnossa hän sanoi, että yhtiö uskoo, että se, että väitteet ovat ilman ansioita. "Nämä asiakkaat olivat rikosuhreja lähes kaksi vuotta sitten. Valitettavasti tämän päivän rikolliset teot eivät ole harvinaisia ​​ravintola-alalla", lausunto on luettu.

Bond ei osta sitä. "Olet ostamassa kallista myyntipisteen järjestelmää", hän sanoi. "Mutta kun olet vaarantunut, Visa ja Mastercard tulevat kauppiaan jälkeen, eikä jalostajalle, jälleenmyyjälle tai Visa Mastercardille ole vastuuta, joten kauppias on henkilö, joka kärsii."

Visa varoitti Radiant ja Computer Worldia siitä, että he eivät olleet PCI-vaatimusten mukaisia ​​vuotta ennen hakata, mutta kauppiaille ei koskaan ilmoitettu näistä ongelmista, vaikka he joutuivat lopulta maksamaan suuria sakkoja.

Tämä on todellinen ongelma, sanoi Gavertin tutkimuskeskuksen analyytikko Avivah Litan. "Kauppiaille on ilmoitettava suoraan, kun Visa tai MasterCard antaa hälytyksiä ei-yhteensopivista ohjelmistoista", hän sanoi sähköpostin haastattelussa. "Ravintolat ovat elintarvikkeiden myyntitoiminnassa, eikä niiden pitäisi odottaa olevan asiantuntijoita luottokorttien käsittelyn varmennusprosesseista, varsinkin kun he eivät ole edes varuina useimmista ympäröivistä viestinnöistä."

Radiant varoitti ongelmasta San Francisco Bay Area Radiant-jälleenmyyjän lähettämän turvallisuusvaroituksen mukaan. Hälytys varoitti Aloha-käyttäjiä poistamaan käytöstä Remote Desktop -ominaisuuden, jos sitä ei käytetä etätoimitukseen myyntipisteessä. Bondin oikeudenkäynnin kantajat sanovat, etteivät he ole saaneet tällaista hälytystä. Computer World ei vastannut pyyntöön kommentoida tätä artikkelia.

Bondin mukaan Computer World käytti tätä Remote Desktop -ominaisuutta käyttääkseen järjestelmäänsä. Jotta asiat voisivat pahentua, Computer World oli perustanut hänen ja muiden ravintoloidensa samaan oletussalasanaan: "Tietokone", Bond sanoi.