Restauranger Sue-leverantörer efter försäljningsstället Hack

När Keith Bond köpte ett datoriserat kassaregistersystem för sin Broussard, Louisiana restaurang, trodde han att han moderniserade sin restaurang. Idag tror han att han oavsiktligt öppnade en bakdörr för rumänska hackare som nu har kostat honom mer än 50 000 US-dollar.

Bond's är en av mer än ett halvt dussin Louisiana-restauranger som har stämt över sina beslutsfattare för deras point-of- försäljningssystem, som hävdar att de företag som tillverkat och vidareförsäljer systemen är de som borde ansvara för böter som betalas av betalningsprocessorer efter hack.

Hans historia läser som en varning för småföretag, som i att ansluta sina företag till Internet, har också blivit byte för sofistikerade cyberkriminella. [

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Bond säger att system på Mel's Diner, del II, hackades tillsammans med flera andra restauranger i regionen, någon gång runt mars 2008. Undersökare berättade för honom att systemen komprometterades av rumänska hackare som använde enhetens fjärråtkomstprogram för att stjäla kreditkortsnummer från systemen. Med den här mjukvaran kan Bonds återförsäljare, Computer World, ge fjärråtkomst till systemen. De brottslingar tog de kreditkortsnumren och använde dem för att göra bedrägliga inköp i hela USA, sade han.

I klagomålet motsatte Bond och de övriga kärandena att deras försäljningssystem inte uppfyllde kraven med betalkortindustrin Datasäkerhetsstandard (PCI DSS), som definierar hur säkra de stora kreditkortsföretagen förväntar sig att deras köpmän s datorer ska vara. Bond och andra skyller tillverkaren av sitt Aloha-försäljningssystem, Radiant Systems, och dess Louisiana-återförsäljare, Computer World (Computer World är inte relaterat till IDGs datavärde ComputerWorld).

Efter hacket måste Bond spendera nära till $ 20.000 för att granska sina system. Han bedömdes sedan tiotusentals dollar i böter och återbetalningsavgifter som genererades av de 699 kreditkortsnummer som stulits från sina tre försäljningsenheter.

"Våra kunder är restauranger", säger Bonds advokat Charles Hoff, i ett påstående. "De är matexperter, inte tekniker. När stora aktörer inom gästbranschen, som Radiant Systems och dess distributörer säger att deras mjukvaror och affärspraxis är PCI-DSS-kompatibla, våra kunder litar på dem."

Proceduren för klagomål var arkiverad i oktober men var inte allmänt känd förrän privatlivsbloggen DataBreaches.net avslöjade det förra veckan. En annan liknande rättegång inlämnades mot Radiant och Computer World i april av käranden i Georgien.

Med en uttalande av företagspolitiken nekade en radiant talesman att kommentera rättegångarna, men i ett e-postmeddelande uppgav hon att företaget anser att påståenden är utan förtjänst. "Dessa kunder var offer för kriminella handlingar för nästan två år sedan. Tyvärr är kriminella handlingar som dessa i dag inte ovanligt i restaurangbranschen, säger läsningen.

Bond köper inte det. "Du köper ett dyrt försäljningssystem," sa han. "Men när du äventyras kommer Visa och Mastercard efter köpmannen. Det finns ingen ansvarsnivå hos processorn, återförsäljaren eller med Visa Mastercard. Så handlaren är den som lider."

Processen hävdar att Visa varnade Radiant och Computer World om att de inte var PCI-kompatibla året före hacken, men de handlarna fick aldrig meddelanden om dessa problem, trots att de var de som till slut skulle betala stora böter. Det är ett verkligt problem, säger Avivah Litan, en analytiker med Gartnerforskningsbolaget. "Merchants bör meddelas direkt när Visa eller MasterCard utfärdar varningar om icke-kompatibel programvara", sa hon i en e-post intervju. "Restauranger är i affärer att sälja mat, de borde inte förväntas vara experter på inveckling av certifieringsprocesser för kreditkortsbehandling, särskilt när de inte ens är föremål för de flesta kommunikationer som omger dem."

Radiant varnade för problemet, enligt en säkerhetsvarning som postas av en San Francisco Bay Area Radiant återförsäljare. Varningen varnade Aloha-användare om att deaktivera en fjärrskrivbordsfunktion på deras utrustning om den inte används för att ge fjärråtkomst till försäljningssystemet. Klagandena i Bonds rättegång säger att de inte fått någon sådan varning. Computer World svarade inte på en begäran om kommentar till den här artikeln.

Enligt Bond använde Computer World denna Remote Desktop-funktion för att komma åt sina system. För att göra saken värre hade Computer World satt upp sina och andra restauranger med samma standardlösenord: "Computer", sade Bond.