Sigurnosna kompanija tužena zbog hakerskog napada iz 2007.

Vesti, 10.07.2018, 10:30 AM

Dva osiguravajuće kuće tužile su kompaniju Trustwave koja se bavi sajber bezbednošću i zaštitom sa zahtevom da isplati naknadu za osiguranje koje je isplaćeno njihovom klijentu, navodeći da Trustwave mesecima nije otkrio malvere na mreži oštećenog klijenta, što je dovelo do jednog od najvećih incidenata u deceniji posle 2000. godine. Iz Trustwavea su odgovorili da je tužba besmislena.

Dve osiguravajuće kuće su Lexington Insurance i Beazley Insurance, a kompanija koja je bila njihov klijent je jedan od vodećih platnih procesora Heartland Payment Systems.

U januaru 2009. godine, Heartland je objavio da je došlo do ogromne povrede sigurnosti mreže, i da je napadač ukrao podatke sa više od 100 miliona platnih kartica više od 650 klijenata Heartlanda, koji su čuvani na njegovim sistemima.

Nakon ovog razarajućeg napada, jednog od najvećih u u toj deceniji, Heartland je isplatio preko 148 miliona dolara po osnovu različitih tužbi, dok je ostale troškove i troškove remedijacije Heartland ostao dužan svojim klijentima.

S obzirom da je Heartland bio osiguran, osiguravajuće kuće su posle napada isplatile 30 miliona dolara kompaniji, i to Lexington Insurance 20 miliona dolara, a Beazley Insurance 10 miliona dolara.

Međutim, krajem prošlog meseca osiguravajuće kuće su pokrenule građanske parnice pred sudom u Ilinoisu, u pokušaju da nadoknade svoje troškove, tvrdeći da firma Trustwave sa kojom je Heartland imao ugovor o pružanju usluga nije ispunila svoje obaveze koje je imala po ugovoru sa platnim procesorom.

Osiguravajuće kuće tvrde da kompanija Trustwave Holdings, Inc., sa sedištem u Čikagu, nije otkrila SQL injection napad koji je napadač koristio kako bi hakovao sisteme Heartlanda 24. jula 2007. godine. Pored toga, osiguranja kažu da Trustwave nije uspeo da otkrije ni da su napadači instalirali zlonamerne programe na serverima platnog procesora 14. maja 2008. godine, te da nije upozorio Heartland o ovom događaju. U tužbi se navodi i da Trustwave nije otkrio bilo kakve znake sumnjivih aktivnosti tokom svojih revizija koje je za Heartland obavljao skoro dve godine u skladu sa ugovorom.

U tužbi se takođe navodi da je Visa posle napada izvršila pregled servera Heartlanda i otkrila da Trustwave nije pravilno sertifikovao Heartland kao PCI DSS kompatibilan. PCS DSS označava industrijski standard za sigurnost podataka platnih kartica, i svaka kompanija mora dobiti atest pre nego što joj bude dozvoljeno da obrađuje podatke o platnim karticama.

U tužbi se tvrdi da je Visa otkrila da je Trustwave ignorisao činjenice da Heartland nije ima firewall, da je koristio lozinke dobijene od proizvođača, da nije imao dovoljnu zaštitu za sistem za skladištenje podataka sa kartica, da nije dodelio jedinstvenu identifikaciju svakoj osobi sa pristupom sistemu i nije vršio nadzor nad serverima i podacima u redovnim intervalima. Sve ovo su pravila PCI DSS standarda. Ipak, Visa je saopštila tada da je uprkos svim problemima na Heartlandovoj mreži, Trustwave obezbedio PCI DSS atest. Visa je kasnije zabranila Heartlandu da angažuje Trustwave.

Navodeći izveštaj kompanije Visa i druge dokumente objavljene posle napada, osiguravajuće kuće tvrde da je Trustwave kriv za nemar. Osim toga, u tužbi se tvrdi i da je Trustwave prekršio i ugovore koje je potpisao sa Heartlandom, na osnovu kojih je trebalo da pruža usluge obezbeđenja. Zbog svega navedenog, dve osiguravajuće kompanije sada traže odštetu od najmanje 30 miliona dolara.

Trustwave kaže da je tužba beskorisna i da je kompanija pokrenula tužbu u Delaveru protiv dva osiguranja. Iz kompanije su rekli da su oni dali ocenu Heartlandu za usaglašenost sa PCI DSS standardom, ali da ta ocena, kako i stoji u ugovoru ne garantuje da kompanija koja je ocenjivana nije ili ne može biti hakovana. Iz Trustwavea kažu i da oni nisu upravljali informatičkom sigurnošću Heartlanda i da Heartland nikada krivicu za napad nije pripisao Trustwaveu, niti je kompanija ikada podnela bilo kakvu tužbu protiv Trustwavea.

Trustwave je, međutim, i ranije tužen u sličnim slučajevima. Šta više, ovo je treći put da je Trustwave tužen. Bankarski konglomerat je tužio Trustwave 2014. zbog svoje uloge u hakovanju Targeta, ali je tužba odbačena.

Drugi put kompanija je tužena 2016. zbog jednog napada iz 2013. godine kada su ukradeni podaci o 300000 platnih kartica korisnika kazina.