Sigurnosna kompanija tužena zbog hakerskog napada iz 2007.

Vesti, 10.07.2018, 10:30 AM

Sigurnosna kompanija tužena zbog hakerskog napada iz 2007.

Dva osiguravajuće kuće tužile su kompaniju Trustwave koja se bavi sajber bezbednošću i zaštitom sa zahtevom da isplati naknadu za osiguranje koje je isplaćeno njihovom klijentu, navodeći da Trustwave mesecima nije otkrio malvere na mreži oštećenog klijenta, što je dovelo do jednog od najvećih incidenata u deceniji posle 2000. godine. Iz Trustwavea su odgovorili da je tužba besmislena.

Dve osiguravajuće kuće su Lexington Insurance i Beazley Insurance, a kompanija koja je bila njihov klijent je jedan od vodećih platnih procesora Heartland Payment Systems.

U januaru 2009. godine, Heartland je objavio da je došlo do ogromne povrede sigurnosti mreže, i da je napadač ukrao podatke sa više od 100 miliona platnih kartica više od 650 klijenata Heartlanda, koji su čuvani na njegovim sistemima.

Nakon ovog razarajućeg napada, jednog od najvećih u u toj deceniji, Heartland je isplatio preko 148 miliona dolara po osnovu različitih tužbi, dok je ostale troškove i troškove remedijacije Heartland ostao dužan svojim klijentima.

S obzirom da je Heartland bio osiguran, osiguravajuće kuće su posle napada isplatile 30 miliona dolara kompaniji, i to Lexington Insurance 20 miliona dolara, a Beazley Insurance 10 miliona dolara.

Međutim, krajem prošlog meseca osiguravajuće kuće su pokrenule građanske parnice pred sudom u Ilinoisu, u pokušaju da nadoknade svoje troškove, tvrdeći da firma Trustwave sa kojom je Heartland imao ugovor o pružanju usluga nije ispunila svoje obaveze koje je imala po ugovoru sa platnim procesorom.

Osiguravajuće kuće tvrde da kompanija Trustwave Holdings, Inc., sa sedištem u Čikagu, nije otkrila SQL injection napad koji je napadač koristio kako bi hakovao sisteme Heartlanda 24. jula 2007. godine. Pored toga, osiguranja kažu da Trustwave nije uspeo da otkrije ni da su napadači instalirali zlonamerne programe na serverima platnog procesora 14. maja 2008. godine, te da nije upozorio Heartland o ovom događaju. U tužbi se navodi i da Trustwave nije otkrio bilo kakve znake sumnjivih aktivnosti tokom svojih revizija koje je za Heartland obavljao skoro dve godine u skladu sa ugovorom.

U tužbi se takođe navodi da je Visa posle napada izvršila pregled servera Heartlanda i otkrila da Trustwave nije pravilno sertifikovao Heartland kao PCI DSS kompatibilan. PCS DSS označava industrijski standard za sigurnost podataka platnih kartica, i svaka kompanija mora dobiti atest pre nego što joj bude dozvoljeno da obrađuje podatke o platnim karticama.

U tužbi se tvrdi da je Visa otkrila da je Trustwave ignorisao činjenice da Heartland nije ima firewall, da je koristio lozinke dobijene od proizvođača, da nije imao dovoljnu zaštitu za sistem za skladištenje podataka sa kartica, da nije dodelio jedinstvenu identifikaciju svakoj osobi sa pristupom sistemu i nije vršio nadzor nad serverima i podacima u redovnim intervalima. Sve ovo su pravila PCI DSS standarda. Ipak, Visa je saopštila tada da je uprkos svim problemima na Heartlandovoj mreži, Trustwave obezbedio PCI DSS atest. Visa je kasnije zabranila Heartlandu da angažuje Trustwave.

Navodeći izveštaj kompanije Visa i druge dokumente objavljene posle napada, osiguravajuće kuće tvrde da je Trustwave kriv za nemar. Osim toga, u tužbi se tvrdi i da je Trustwave prekršio i ugovore koje je potpisao sa Heartlandom, na osnovu kojih je trebalo da pruža usluge obezbeđenja. Zbog svega navedenog, dve osiguravajuće kompanije sada traže odštetu od najmanje 30 miliona dolara.

Trustwave kaže da je tužba beskorisna i da je kompanija pokrenula tužbu u Delaveru protiv dva osiguranja. Iz kompanije su rekli da su oni dali ocenu Heartlandu za usaglašenost sa PCI DSS standardom, ali da ta ocena, kako i stoji u ugovoru ne garantuje da kompanija koja je ocenjivana nije ili ne može biti hakovana. Iz Trustwavea kažu i da oni nisu upravljali informatičkom sigurnošću Heartlanda i da Heartland nikada krivicu za napad nije pripisao Trustwaveu, niti je kompanija ikada podnela bilo kakvu tužbu protiv Trustwavea.

Trustwave je, međutim, i ranije tužen u sličnim slučajevima. Šta više, ovo je treći put da je Trustwave tužen. Bankarski konglomerat je tužio Trustwave 2014. zbog svoje uloge u hakovanju Targeta, ali je tužba odbačena.

Drugi put kompanija je tužena 2016. zbog jednog napada iz 2013. godine kada su ukradeni podaci o 300000 platnih kartica korisnika kazina.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

OBAVEŠTENJE o godišnjem odmoru

Sajt neće biti ažuriran u periodu od 10. do 30. septembra zbog godišnjih odmora.... Dalje

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Kompanija British Airways, koja za sebe kaže da je "omiljena svetska avio-kompanija", potvrdila je da je hakovana i da su tokom dve nedelje napadači... Dalje

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Informacije o nalozima 569703 igrača Mortal Onlinea, prodate su nekoliko puta posle napada koji se dogodio 17. juna, kada je nepoznati napadač ili v... Dalje

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Pre deset godina Google je objavio prvu verziju svog pregledača koji je nazvan Chrome. Ove nedelje je kompanija objavila 69. verziju Chromea. Novi Ch... Dalje

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Sud u Češkoj nedavno je osudio dvojicu hakera na tri godine zatvora zbog toga što su opljačkali na desetine korisnika Vodafona. Oni su upadali u n... Dalje