Μία αγωγή που κατατέθηκε εναντίον της αμερικανικής αλυσίδας fast food Sonic για παραβίαση δεδομένων του 2017, έλαβε έγκριση να προχωρήσει.
Δείτε επίσης: WhatsApp: Πρόστιμο € 225 εκατομμυρίων για παραβίαση του GDPR
Χρηματοπιστωτικά ιδρύματα άσκησαν μήνυση εναντίον της Sonic Corp, αφού προέκυψε ότι οικονομικά δεδομένα που ανήκαν σε πελάτες του εστιατορίου είχαν κλαπεί σε μία κυβερνοεπίθεση. Ο εισβολέας εγκατέστησε κακόβουλο λογισμικό σε σύστημα σημείων πώλησης που χρησιμοποιήθηκε σε εκατοντάδες franchise της Sonic.
Σε μια ειδοποίηση παραβίασης δεδομένων που εκδόθηκε όταν έγινε η επίθεση, η Sonic δήλωσε: «Το Sonic Drive-In ανακάλυψε ότι οι αριθμοί πιστωτικών και χρεωστικών καρτών ενδέχεται να έχουν αποκτηθεί χωρίς εξουσιοδότηση ως μέρος μιας επίθεσης κακόβουλου λογισμικού που σημειώθηκε σε ορισμένες τοποθεσίες Sonic Drive-In.»
Η Sonic εδρεύει στην Οκλαχόμα και έχει σχεδόν 3.600 τοποθεσίες σε 45 πολιτείες των ΗΠΑ. Μια έρευνα για την επίθεση διαπίστωσε ότι τα δεδομένα των καρτών πληρωμής των πελατών είχαν εκτεθεί σε περισσότερες από 700 τοποθεσίες franchise της Sonic.
Δείτε ακόμα:Bangkok Airways: Ζητάμε συγνώμη για την παραβίαση δεδομένων
Σύμφωνα με τη σύμβαση franchise της Sonic, οι δικαιοδόχοι έπρεπε να δώσουν στην Sonic πρόσβαση στα δεδομένα συναλλαγών τους μέσω ενός εικονικού ιδιωτικού δικτύου (VPN) που διαχειρίζεται η Sonic. Οι hacker είχαν πρόσβαση σε αυτά τα δεδομένα χρησιμοποιώντας διαπιστευτήρια VPN που εκδόθηκαν σε μια υπηρεσία επεξεργασίας συναλλαγών από τη Sonic.
Η Sonic υποστήριξε ότι οι ενάγοντες δεν μπορούν να αποδείξουν ότι ήταν ένοχη για “πράξεις” που εξέθεσαν τους πελάτες της σε έναν “παράλογα υψηλό κίνδυνο βλάβης”. Σύμφωνα με την αλυσίδα εστιατορίων, οποιαδήποτε ευθύνη για την παραβίαση βαρύνει τον πωλητή σημείου πώλησης, την Infor Restaurants Services Inc.
Την Τρίτη στο Κλίβελαντ του Οχάιο, ο αμερικανός δικαστής James Gwin απέρριψε το αίτημα της Sonic να εκδώσει συνοπτική κρίση. Ο Gwin διαπίστωσε ότι τα ουσιώδη γεγονότα στην υπόθεση «παραμένουν άλυτα».
Δείτε επίσης: Το Zoom θα πληρώσει 85 εκατ. $ σε αγωγή παραβίασης ιδιωτικής ζωής
«Η Sonic είχε καθήκον να αποτρέψει τις εγκληματικές ενέργειες των hacker, αφού οι ενέργειες της Sonic δημιούργησαν κίνδυνο βλάβης και η εταιρεία γνώριζε ή έπρεπε να γνωρίζει ότι ο κίνδυνος εισβολής έκανε τις ελαττωματικές πρακτικές ασφαλείας της αδικαιολόγητα επικίνδυνες», δήλωσε ο Gwin.
Στην απόφαση, ο Gwin ανέφερε αρκετές ενέργειες που φέρεται να εκτελέστηκαν από την Sonic, οι οποίες ήταν επικίνδυνες. Μεταξύ αυτών ήταν η δημιουργία μιας “σήραγγας VPN με μόνιμη ενεργοποίηση” που επέτρεπε σε οποιονδήποτε με διαπιστευτήρια Infor και απομακρυσμένο διαπιστευτήριο χρήστη να έχει πρόσβαση στο σύστημα χωρίς έλεγχο ταυτότητας πολλαπλών παραγόντων.
