示意圖,與新聞事件無關。

兩家保險業者Lexington Insurance與Beazley Insurance最近翻出10年前的舊帳,於上個月底控告資安業者Trustwave在2007與2008年時因未發現金融交易系統Heartland Payment Systems的缺陷,而讓Heartland遭到駭客入侵,應該賠償Lexington與Beazley當時的損失。

Heartland替美國飯店、酒店與零售業處理信用卡、薪水與各種支付服務,在2008年遭到駭客入侵,有超過650家客戶存放在該平台的逾1.3億張支付卡資料外洩,隨後Heartland陸續支付了1.48億美元來擺平訴訟案或與客戶和解,至於Lexington與Beazley則是Heartland的保險公司,分別承擔了2,000萬與1,000萬美元的金額。

不過,Lexington與Beazley在上周控告Trustwave在稽核Heartland平台時,並未察覺Heartland平台上所出現的兩起惡意活動,還在2007年與2008年核發了PCI DSS認證予Heartland。PCI DSS的全名為支付卡產業資料安全標準(Payment Card Industry Data Security Standard),是為了減少信用卡詐騙案而建立的標準,業者必須先符合該標準才能處理信用卡資料。

此外,Visa在調查Heartland的資料外洩事件時亦發現Heartland違反了PCI DSS的多項規定,包括沒有架設防火牆、使用業者所提供的密碼、未針對存取系統的用戶分配獨特的識別標籤,以及對於存放信用卡資料的系統缺乏足夠的保護等。此一調查結果讓這兩家保險公司認定Trustwave應該要負責賠償它們的損失。

Trustwave則反駁,縱使該公司負責評估Heartland的PCI DSS合規與否,但並沒有保證Heartland不會遭到駭客入侵,Trustwave沒有負責管理Heartland的資訊安全,同時Heartland也未向Trustwave抱怨或提出索賠。

資安新聞網站Dark Reading引用Leo Cyber Security技術長Andrew Hay的看法指出,這起訴訟案對資安業者來說是個壞消息,將對提供安全服務的業者帶來危險先例,還可預見會有愈來愈多的資安業者投保資安險來預防類似的訴訟。


Advertisement

更多 iThome相關內容