前员工称家得宝未加密信用卡数据 - 彭博社

在家得宝结账摄影：帕特里克·T·法伦/彭博社家得宝的店内支付系统并没有设置加密客户的信用卡和借记卡数据，这在其防御中存在一个漏洞，使潜在的黑客有更大的机会进行利用，前零售商安全团队成员的采访显示。

尚不清楚这种漏洞是否导致了家得宝在9月8日宣布的黑客事件。然而，五名前员工描述了一个员工流动率高、软件过时，以及对“C级安全”（相对于A级或B级安全）的明确偏好，妨碍了团队的有效性。前员工，包括三名经理，要求不公开他们的名字，因为他们担心来自前雇主的报复；其中一些人现在为为家得宝提供安全功能的公司工作。

尽管公司今年购买了一种工具，可以在收银台加密客户支付数据，但两名前经理表示，目前的家得宝员工告诉他们，安装尚未完成。

“我们正在不断努力增强我们的IT安全，以保护客户数据，并且我们已采取积极措施来应对此次泄露中的恶意软件，”家得宝发言人保拉·德雷克说。“在我们调查期间，对这种谣言和猜测发表评论是不合适的。”

对家得宝信息系统的“健康检查”，是由赛门铁克的员工在两个月前进行的，发现了过时的恶意软件检测系统，一位前经理表示。到那时，黑客可能已经在翻阅公司的计算机数据。家得宝表示，这次黑客攻击可能早在四月就已开始，并有可能危及在美国和加拿大的2,155家商店使用信用卡或借记卡的客户。

前信息安全经理表示，当他们试图改善家得宝的安全系统时，有时被其技术高管拒绝，包括信息安全主管杰夫·米切尔。两位在2011年和2012年离开公司的前经理表示，米切尔告诉他们要满足于“C级安全”，因为雄心勃勃的升级将会花费高昂，并可能干扰关键业务系统的运作。这种管理风格让家得宝信息安全部门的许多员工感到沮丧，导致在过去三年中，团队中不到50人的员工中有数十人离职，前经理们表示。德雷克没有回应对米切尔的采访请求，米切尔也没有回应留在他办公室的电话留言。

信息安全部门的高流动率可能会造成高昂的成本，因为这些职位需要培训，弗吉尼亚州费尔法克斯的安全公司Invincea首席执行官阿努普·戈什表示。

“每次你有员工流动时，你都在培训下一个人，并失去了在那里的人的机构知识，”戈什说。

前任经理表示，他们对家得宝商店缺乏信用卡数据加密感到困扰。根据两位前经理的说法，数据是以明文形式从商店发送到中央服务器。今年，他们表示，家得宝购买了一款来自Voltage Security的工具来加密卡数据，但该系统尚未实施。Voltage的发言人Paula Brici拒绝发表评论。

三位前信息安全经理还表示，家得宝在其销售点系统中使用过时的 antivirus 软件。该程序，Symantec的Endpoint Protection 11，于2007年发布。Symantec在2011年推出了12版，并在新闻稿中表示，“威胁环境发生了显著变化”，并且新产品将保护免受“恶意软件范围和复杂性爆炸”的影响。Symantec的发言人Kristen Batch拒绝发表评论。

前经理表示，尽管员工恳求高管，家得宝仍然坚持使用Endpoint Protection 11。Symantec今年开始逐步停止对旧版本的客户支持。根据该软件公司网站上的一页，所有此类支持将于2015年1月5日结束，该页面 直言不讳地声明： “这是产品生命周期的结束。”