Question

沃克现任俄勒冈州立大学计算机专业研究员，我询问他，听说 TJX 黑客攻击是在 WEP 系统崩溃时发生的，对此他有何看法，是理解，还是担忧，又或是早就习惯了？ 是的，‘习惯了’是个很不错的说法， 他回答， 一旦安全协定出现了明显的漏洞，就一定会有罪犯乘虚而入。

他认为，发生这类事件的问题在于设计系统很简单，而设计一个安全系数高的系统却很难。

在专业知识上，我们的设计团队仍然有许多的不足。大多数系统工程师在大学时没有学过加密算法，他们的专业知识有限，只能尽可能地做到最好。在测试实验阶段，工程师需要让系统的所有软件库（包括所运用的加密算法）都适应其前期设计。但加密算法是一种非常优化的算法，因此它很难适用前期设计这种标准化的编程操作。并且实际上，加密算法的应用要求人们对此重新设计一个系统，以使得其密码库里的预设密码是可以运行其系统的，可通常人们的做法是相反的。

换句话说，WEP 系统的加密方式并不适用于其本身。设计者曾尝试让该加密方式在传输破译信息的同时也给系统提供保护，但最终失败了，该加密方式无法达到这一预想的结果。

信用卡行业也注意到了 TJX 商店的黑客事件，但他们却并不焦虑，而是不紧不慢地实施应对措施。2008 年 3 月，支付卡行业安全标准委员会宣布，从 2010 年 7 月起，禁止使用运行 WEP 系统的信用卡支付业务。当时，WEP 系统的漏洞问题已存在了 10 年之久，即便想要破解 WEP 最复杂的密码系统，也不过是几分钟的事。

保罗·布特卡于 2008 年升任 TJX 的全球应用开发部主任，于 2009 年 11 月离职。2017 年年底，他担任康涅狄格州鲍勃折扣商店的首席信息官。2012 年，在一次采访中，记者问他，在数据泄露事件中，他学到了什么，他回答， 我学到了很多有关信用卡行业数据安全标准的知识 。

大多数信用卡数据被窃的客户并没有得到现金补偿，他们只收到了代金券，可以凭借该代金券去 TJX 旗下的商店购物，而这些商店也就是他们的卡户信息被窃的源点。

代金券能挽回用户的信任吗？2007 年 2 月，贾夫林研究所发布的数据表明，3/4 的借记卡持有者表示，他们不会在发生数据泄露的商店继续购物。但这种态度和决心都是十分短暂的。2007 年 8 月，高德纳咨询公司的一项调查表明，只有 22%的客户选择 不继续在 TJX 购物 。 他们知道会由银行来承担他们的潜在损失， 高德纳公司的阿维瓦·利坦表示， 更多的 TJX 顾客显然更加在意他们可以享受的折扣，而不是信用卡的安全。

与此同时，冈萨雷斯和其他囚犯一起被关押在了密西西比州的监狱。他的释放时间暂定在 2025 年 10 月 29 日，届时他年满 44 岁。

小结 | TJX 黑客事件

在采用新的技术之前，需要先彻底调查该技术的安全性。TJX 早期引进的 Wi-Fi，仅仅是为了给企业带来利益，但他们破坏了无线安全的标准，这一事实也被公之于众了。

如果你在系统里发现了安全漏洞，不要为了节省开支而延迟关闭系统。考虑到互联网的规模，迟早有人会发现这些漏洞。

在系统周边建立监控设备，对每一次网络连接都保持警惕。

在遵守财务安全要求上不能马虎。如果别人比你做得更好更快，你就会成为攻击的目标。

数据泄露的第一个迹象通常是地下论坛对客户及其财务数据的交易。

公司在运营过程中极容易遭遇黑客攻击，同时，公司的处理方式也决定了客户之后对你的态度。

黑客会十分努力地获取财务信息。在他们眼里，大公司的客户财务信息基本都交给了一些安全性较差的银行。