Trustwave sertifiserte PCI-løsningen hos Target, men greide ikke å oppdage ondsinnet kode som lå i nettverket i 18 dager og tappet butikkjeden for mange titalls millioner ID-er.

Saksøkt etter datainnbrudd

Kan en sikkerhetsleverandør trekkes til ansvar for lekket personinfo?

Blant over hundre søksmål i kjølvannet av hackerangrepet mot den amerikanske butikkjeden Target, er det ett som skiller seg spesielt ut: To banker saksøker Targets IT-sikkerhetsleverandør Trustwave for medansvar, melder American Banker.

Angrepet mot Target i julesesongen 2013 førte til at uvedkommende fikk tak i data om 40 millioner kredittkort, og ytterligere 70 millioner sett med personopplysninger.

    Les også:

Det er Trustmark National Bank og Green Bank N.A. som saksøker både Target og IT-sikkerhetsselskapet Trustwave. Det kreves en erstatning i overkant av 5 millioner dollar. Søksmålet er fremmet for en distriktsdomstol i Chicago.

Trustwave sertifiserte betalingssystemene til Target etter den såkalte PCI-standarden («Payment Card Industry»). PCI-standarden beskriver hvordan løsninger som håndterer betalingskortdata skal sikres.

Trustwave er USAs største aktør innen PCI-sertifisering. Bankene viser til opplysninger fra medier. De hevder Target ikke kan ha overholdt PCI-standarden, siden hackere var tilstede i Targets nettverk i 18 dager uten å bli oppdaget. De hevder at Trustwave er medansvarlig fordi de to måneder før hacket opplyste at Targets nettverk var fri for sårbarheter. Søksmålet påstår at Trustwave lot sårbarheter forbli i nettverket, enten ved ikke å oppdage dem, eller ved å se bort fra dem. Det vises blant annet til meldinger om at stjålne data ble mellomlagret på servere i Target-nettverket i seks dager før de ble overført til eksterne servere under hackernes kontroll.

I søksmålet hevdes det at amerikanske banker til sammen ligger an til å tape opptil 18 milliarder dollar på grunn av datainnbruddet mot Target.

Verken Target eller Trustwave har villet kommentere søksmålet fra de to bankene.

Til toppen