前員工稱家得寶未加密信用卡數據 - 彭博社

在家得寶結賬攝影：帕特里克·T·法倫/彭博社家得寶的店內支付系統並沒有設置加密客户的信用卡和借記卡數據，這在其防禦中存在一個漏洞，使潛在的黑客有更大的機會進行利用，前零售商安全團隊成員的採訪顯示。

尚不清楚這種漏洞是否導致了家得寶在9月8日宣佈的黑客事件。然而，五名前員工描述了一個員工流動率高、軟件過時，以及對“C級安全”（相對於A級或B級安全）的明確偏好，妨礙了團隊的有效性。前員工，包括三名經理，要求不公開他們的名字，因為他們擔心來自前僱主的報復；其中一些人現在為為家得寶提供安全功能的公司工作。

儘管公司今年購買了一種工具，可以在收銀台加密客户支付數據，但兩名前經理表示，目前的家得寶員工告訴他們，安裝尚未完成。

“我們正在不斷努力增強我們的IT安全，以保護客户數據，並且我們已採取積極措施來應對此次泄露中的惡意軟件，”家得寶發言人保拉·德雷克説。“在我們調查期間，對這種謠言和猜測發表評論是不合適的。”

對家得寶信息系統的“健康檢查”，是由賽門鐵克的員工在兩個月前進行的，發現了過時的惡意軟件檢測系統，一位前經理表示。到那時，黑客可能已經在翻閲公司的計算機數據。家得寶表示，這次黑客攻擊可能早在四月就已開始，並有可能危及在美國和加拿大的2,155家商店使用信用卡或借記卡的客户。

前信息安全經理表示，當他們試圖改善家得寶的安全系統時，有時被其技術高管拒絕，包括信息安全主管傑夫·米切爾。兩位在2011年和2012年離開公司的前經理表示，米切爾告訴他們要滿足於“C級安全”，因為雄心勃勃的升級將會花費高昂，並可能干擾關鍵業務系統的運作。這種管理風格讓家得寶信息安全部門的許多員工感到沮喪，導致在過去三年中，團隊中不到50人的員工中有數十人離職，前經理們表示。德雷克沒有回應對米切爾的採訪請求，米切爾也沒有回應留在他辦公室的電話留言。

信息安全部門的高流動率可能會造成高昂的成本，因為這些職位需要培訓，弗吉尼亞州費爾法克斯的安全公司Invincea首席執行官阿努普·戈什表示。

“每次你有員工流動時，你都在培訓下一個人，並失去了在那裏的人的機構知識，”戈什説。

前任經理表示，他們對家得寶商店缺乏信用卡數據加密感到困擾。根據兩位前經理的説法，數據是以明文形式從商店發送到中央服務器。今年，他們表示，家得寶購買了一款來自Voltage Security的工具來加密卡數據，但該系統尚未實施。Voltage的發言人Paula Brici拒絕發表評論。

三位前信息安全經理還表示，家得寶在其銷售點系統中使用過時的 antivirus 軟件。該程序，Symantec的Endpoint Protection 11，於2007年發佈。Symantec在2011年推出了12版，並在新聞稿中表示，“威脅環境發生了顯著變化”，並且新產品將保護免受“惡意軟件範圍和複雜性爆炸”的影響。Symantec的發言人Kristen Batch拒絕發表評論。

前經理表示，儘管員工懇求高管，家得寶仍然堅持使用Endpoint Protection 11。Symantec今年開始逐步停止對舊版本的客户支持。根據該軟件公司網站上的一頁，所有此類支持將於2015年1月5日結束，該頁面 直言不諱地聲明： “這是產品生命週期的結束。”