Quem responde pelos prejuízos de cross-site request(session riding)

Se, eventualmente, alguém, cliente ou prestador do serviço, sofrer algum tipo de dano proveniente da técnica de session riding quem responderá pelos prejuízos?