Restoran Sue Vendor Setelah Point-of-sale Hack

Ketika Keith Bond membeli sistem kasir komputerisasi untuk restoran Broussard, Louisiana, dia mengira dia memodernisasi restorannya. Hari ini, ia percaya ia tanpa disadari membuka pintu belakang bagi peretas Rumania yang sekarang telah menghabiskan lebih dari 50.000 dolar AS.

Ceritanya terbaca seperti peringatan untuk usaha kecil, yang dalam menghubungkan bisnis mereka ke Internet, juga telah menjadi mangsa kriminal cyber canggih.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Obligasi mengatakan bahwa sistem di Mel's Diner, Bagian II, diretas, bersama dengan beberapa lainnya restoran di wilayah itu, sekitar bulan Maret 2008. Para penyelidik mengatakan kepadanya bahwa sistem itu dikompromikan oleh peretas Rumania yang menggunakan perangkat lunak akses jarak jauh perangkat untuk mencuri nomor kartu kredit dari sistem. Perangkat lunak ini memungkinkan reseller Bond, Dunia Komputer, menyediakan dukungan jarak jauh ke sistem. Para penjahat mengambil nomor kartu kredit itu dan kemudian menggunakannya untuk melakukan pembelian curang di seluruh AS, katanya.

Dalam gugatan class action, Bond dan penggugat lainnya menuduh bahwa sistem point-of-sale mereka tidak memenuhi syarat. dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), yang mendefinisikan seberapa aman perusahaan kartu kredit besar mengharapkan komputer pedagang mereka menjadi. Bond dan lainnya menyalahkan pembuat sistem point-of-sale Aloha, Radiant Systems, dan reseller Louisiana-nya, Computer World (Dunia Komputer tidak terkait dengan majalah IDG ComputerWorld).

Setelah hack, Bond harus menghabiskan waktu dekat hingga $ 20.000 untuk mengaudit sistemnya. Dia kemudian dinilai puluhan ribu dolar dalam denda dan biaya chargeback yang dihasilkan oleh 699 nomor kartu kredit yang dicuri dari tiga perangkat point-of-sale-nya.

"Klien kami adalah restoran," kata pengacara Bond, Charles Hoff., dalam sebuah pernyataan. "Mereka adalah ahli makanan, bukan ahli teknologi. Ketika pemain utama dalam industri perhotelan seperti Radiant Systems dan distributornya mengatakan perangkat lunak dan praktik bisnis mereka adalah PCI-DSS compliant, klien kami mempercayainya."

Tuntutan class action adalah diajukan pada bulan Oktober tetapi tidak dikenal luas sampai blog privasi DataBreaches.net mengungkapkannya minggu lalu. Gugatan serupa lainnya diajukan terhadap Radiant and Computer World pada bulan April oleh penggugat di Georgia.

Mengutip kebijakan perusahaan, seorang juru bicara Radiant menolak untuk mengomentari gugatan, tetapi dalam sebuah pernyataan e-mail, dia mengatakan bahwa perusahaan percaya bahwa Tuduhan itu tidak berdasar. "Pelanggan ini adalah korban tindakan kriminal hampir dua tahun yang lalu. Sayangnya, dalam tindakan kriminal dunia saat ini seperti ini tidak biasa dalam industri restoran," kata pernyataan itu berbunyi.

Obligasi tidak membeli itu. "Anda membeli sistem point-of-sale yang mahal," katanya. "Tapi ketika Anda berkompromi, Visa dan Mastercard datang setelah pedagang. Tidak ada tingkat tanggung jawab dengan prosesor, reseller atau dengan Visa Mastercard. Jadi pedagang adalah orang yang menderita."

Gugatan mengklaim bahwa Visa memperingatkan Radiant and Computer World bahwa mereka tidak mematuhi PCI tahun sebelum peretasan, tetapi pedagang itu tidak pernah diberitahu masalah ini, meskipun mereka adalah orang-orang yang akhirnya harus membayar denda besar.

Itu masalah nyata, kata Avivah Litan, seorang analis di perusahaan riset Gartner. "Pedagang harus diberitahu secara langsung ketika Visa atau MasterCard mengeluarkan peringatan tentang perangkat lunak yang tidak sesuai," katanya dalam sebuah wawancara e-mail. "Restoran berada dalam bisnis penjualan makanan; mereka seharusnya tidak diharapkan untuk menjadi ahli dalam kerumitan proses sertifikasi pemrosesan kartu kredit, terutama ketika mereka bahkan tidak mengetahui rahasia sebagian besar komunikasi yang mengelilinginya."

Radiant memperingatkan tentang masalah ini, menurut peringatan keamanan yang dipasang oleh pengecer Radiant Bay Area San Francisco. Peringatan memperingatkan pengguna Aloha untuk menonaktifkan fitur Remote Desktop pada peralatan mereka jika tidak digunakan untuk menyediakan dukungan jarak jauh ke sistem tempat penjualan. Para penggugat dalam gugatan Bond mengatakan mereka tidak menerima peringatan seperti itu. Dunia Komputer tidak menanggapi permintaan untuk komentar pada artikel ini.

Menurut Bond, Dunia Komputer menggunakan fitur Remote Desktop ini untuk mengakses sistemnya. Untuk membuat keadaan menjadi lebih buruk, Dunia Komputer telah mengatur restorannya dan restoran lain dengan kata sandi standar yang sama: "Komputer," kata Bond.