Restaurantes Venden demanda después de punto de venta Hack

Cuando Keith Bond compró un sistema de caja registradora computarizada para su restaurante Broussard, Louisiana, pensó que estaba modernizando su restaurante. Hoy, él cree que involuntariamente abrió una puerta trasera para los hackers rumanos que ahora le han costado más de US $ 50,000.

Bond's es uno de más de media docena de restaurantes de Luisiana que han demandado a los fabricantes de su punto de vista. sistema de venta, alegando que las compañías que fabricaron y revenderon los sistemas son las que deberían ser responsables de las multas impuestas por los procesadores de pagos después del pirateo.

Su historia parece una advertencia para las pequeñas empresas, que conectan sus negocios con el Internet, también se ha convertido en presa de ciberdelincuentes sofisticados.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Bond dice que los sistemas en su Mel's Diner, Parte II, fueron pirateados, junto con varios otros restaurantes en la región, en algún momento alrededor de marzo de 2008. Los investigadores le dijeron que los sistemas estaban en peligro por los hackers rumanos que utilizaron el software de acceso remoto de los dispositivos para robar números de tarjetas de crédito de los sistemas. Este software permite que el distribuidor de Bond, Computer World, brinde soporte remoto a los sistemas. Los delincuentes tomaron esos números de tarjetas de crédito y luego los usaron para realizar compras fraudulentas en todo Estados Unidos, dijo.

En la demanda colectiva, Bond y los otros demandantes alegan que sus sistemas de puntos de venta estaban fuera de cumplimiento con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), que define qué tan seguras las grandes compañías de tarjetas de crédito esperan que sean las computadoras de sus comerciantes. Bond y otros culpan al fabricante de su sistema de punto de venta Aloha, Radiant Systems, y su revendedor de Louisiana, Computer World (Computer World no está relacionado con la revista ComputerWorld de IDG).

Después del ataque, Bond tuvo que pasar cerca a $ 20,000 para auditar sus sistemas. Luego se le cobraron decenas de miles de dólares en multas y cargos por devolución de cargo generados por los 699 números de tarjetas de crédito que fueron robados de sus tres dispositivos de punto de venta.

"Nuestros clientes son restaurantes", dijo el abogado de Bond, Charles Hoff., en una oracion. "Son expertos en alimentos, no tecnólogos. Cuando los principales actores de la industria de la hospitalidad como Radiant Systems y sus distribuidores dicen que su software y prácticas comerciales cumplen con PCI-DSS, nuestros clientes confían en ellos".

La demanda colectiva fue archivado en octubre, pero no fue ampliamente conocido hasta que el blog de privacidad DataBreaches.net lo reveló la semana pasada. Otra demanda similar fue presentada en contra de Radiant y Computer World en abril por los demandantes en Georgia.

Citando la política de la compañía, una portavoz de Radiant se negó a comentar sobre las demandas, pero en una declaración por correo electrónico, dijo que la empresa cree que las acusaciones son sin mérito. "Estos clientes fueron víctimas de actos delictivos hace casi dos años. Desafortunadamente, en el mundo de hoy, actos delictivos como estos no son poco comunes en la industria de restaurantes", decía la declaración.

Bond no compra eso. "Estás comprando un costoso sistema de punto de venta", dijo. "Pero cuando estás comprometido, Visa y Mastercard persiguen al comerciante. No hay ningún nivel de responsabilidad con el procesador, el revendedor o con Visa Mastercard. Por lo tanto, el comerciante es la persona que está sufriendo."

La demanda afirma que Visa advirtió a Radiant y Computer World que no cumplían con PCI el año anterior al pirateo, pero que nunca se notificaron estos problemas a los comerciantes, aunque fueron ellos los que finalmente tuvieron que pagar grandes multas.

Eso es un problema real, dijo Avivah Litan, un analista de la firma de investigación Gartner. "Los comerciantes deben recibir notificaciones directamente cuando Visa o MasterCard emitan alertas sobre software no conforme", dijo en una entrevista por correo electrónico. "Los restaurantes están en el negocio de vender alimentos, no se debe esperar que sean expertos en las complejidades de los procesos de certificación de procesamiento de tarjetas de crédito, especialmente cuando ni siquiera están al tanto de la mayoría de las comunicaciones que los rodean".

Radiant advirtió sobre el problema, de acuerdo con una alerta de seguridad publicada por un revendedor de San Francisco Bay Area Radiant. La alerta advirtió a los usuarios de Aloha que desactiven una función de escritorio remoto en su equipo si no se está utilizando para proporcionar soporte remoto al sistema de punto de venta. Los demandantes en la demanda de Bond dicen que no recibieron tal alerta. Computer World no respondió a una solicitud de comentarios sobre este artículo.

Según Bond, Computer World utilizó esta característica de escritorio remoto para acceder a sus sistemas. Para empeorar las cosas, Computer World había instalado su y otros restaurantes con la misma contraseña predeterminada: "Computadora", dijo Bond.