Question

2005 年 11 月 23 日，布特卡给 IT 技术人员发了邮件，建议延迟从 WEP 到 WPA 的升级，尽管他认为 WPA 是 最优方案 ，但大多数商店尚不能运行 WPA 系统，这能从当年的 IT 预算中省下一大笔钱。在采取措施前，他还试图让技术人员承认，不升级的风险 很小，可以忽略不计 。

大多数 IT 技术人员同意布特卡的想法，有一部分表示不同意。有人回复道，尽管 PCI 有时间期限，但使用 WEP 意味着 我们仍然很脆弱 。技术人员警告， 如果发现 WEP 有漏洞，事态可能会恶化 。

TJX 不仅依旧使用公认不安全的系统，还保留了对商业黑客来说最有价值的东西 - - 信用卡数据，这些数据足以伪造一张全新的假卡。TJX 仅遵守了 PCI-DSS 的 控制目标 12 项中的 3 项，集团管理层也意识到了这一点，后来提交给法庭的内部备忘录中也提及了此处。剩下的 9 项，包括加密卡的信息、访问控制和防火墙等。2006 年 9 月，PCI-DSS 的一位外部审计师曾斥责 TJX 的系统安全性很差，依旧使用 WEP，也没有对老化系统中的软件进行修补，内部边界也没有防火墙。 这些都是最简单的部分， 2007 年 11 月，缅因州毕德福德储蓄银行的 IT 主管基思·戈塞林向 Tech Target 网络公司表示， 公司的管理层为什么不愿意做呢？ 他很困惑，像 TJX 这样的大公司怎么会有这样的失败。

更坏的消息尚未到来。虽然 TJX 的高层在 2005 年 11 月曾讨论过升级 WEP 的紧迫性，但 WEP 的漏洞却已经让系统处于高危状态长达 6 个月之久，黑客侵入也已持续 1 年以上。