$30 млн за халатность 10-летней давности. Столько хотят отсудить две фирмы, которые страховали крупную процессинговую компанию Heartland Payment Systems, у известного аудитора безопасности Trustwave.
Сторона обвинения считает, что Trustwave должна заплатить за то, что ее продукты не смогли обнаружить и остановить вредоносное ПО, из-за которого произошла утечка 100 млн платежных карт клиентов компании. Trustwave не смогла распознать кибератаки в 2007 году, когда хакер, произведя SQL-инъекцию, проник в инфраструктуру платежной системы, а затем злоумышленники установили вредоносное ПО прямо на серверы Heartland.
Компании также обвинили Trustwave в халатности: эксперты Trustwave, проводившие аудит, проигнорировали множественные нарушения норм кибербезопасности в инфраструктуре Heartland: отсутствие файерволла, использование «заводских» паролей, отсутствие надлежащей защиты системы хранения данных платежных карт, отсутствие уникальных идентификаторов для каждого пользователя системы и.т.д. Trustwave на это ответила в том духе, что ее сертификат не является панацеей и не значит, что систему в принципе невозможно взломать.
Почему в суд фирмы обратились именно сейчас, не уточняется. Компенсация в $30 млн, если ее удовлетворят, едва ли покроет издержки самих компаний. Самой Heartland пришлось выплатить более $148 млн в порядке урегулирования исков, поданных ее клиентами, чьи данные были украдены.
Аналогичный иск к Trustwave был подан казино Affinity Gaming в 2016 году. Тогда во время расследования последствий кибератаки произошла еще одна хакерская атака, хотя специалисты Trustwave утверждали, что системы Affinity теперь защищены. Иск урегулировали во внесудебном порядке.