家得宝5600万信用卡泄漏事件问责：管理层作死

美国最大家装建材零售商家得宝（Home Depot）近日承认其支付系统今年四月（起）遭到黑客入侵，估计有5600万张信用卡数据遭到泄漏，打破了此前Target创下的4000万张信用卡数据泄漏世界记录。

经过长达数月与美国联邦执法机构的联合调查，Home Depot首席执行官Frank Blake确认了这起空前的信用卡数据泄露事件，并对没有及时向客户发出告警而致歉。

对于为何在遭受黑客攻击近半年后才察觉，Home Depot安全团队发布的公开申明中将原因归咎于黑客使用了全新的定制恶意软件。

Home Depot安全团队所指的这款全新的定制恶意软件，实际上就是安全牛近日报道过的第二代POS恶意软件之一——BlackPOS（是BrutPOS的变种），这确实是一个2014年才出现的新POS恶意软件变种，但问题的根源并不在这里。

近日Home Depot前IT部门员工向《纽约时报》爆料称：Home Depot大规模信用卡数据泄露事故中，其管理层负有不可推卸的责任。

多年来Home Depot管理层不断收到其信息系统容易遭受攻击的警告，但都置若罔闻，拒绝修复系统问题，这直接导致Home Depot的安全团队多人辞职，而留下来的一位安全团队员工则警告亲朋好友在Home Depot尽量使用现金，不要使用信用卡。

更荒唐的是，Home Depot的管理层任命的信息安全架构师居然是一位罪犯。2012年Home Depot招募来Ricky Joe Mitchell担任其IT安全架构师，在来Home Depot上任前，Mitchell刚刚被EnerVest Operating公司开除，因为Mitchell出于报复目的将公司网络弄瘫痪了30天之久。

匪夷所思的是，官司缠身的Mitchell接到起诉书后不到一年，就被Home Depot委以重任，直到2014年1月被联邦法庭判决有罪，这时距离Home Depot被黑客入侵只有不到3个月。

Home Depot的发言人Stephen Holmes向纽约时报等媒体宣称，Home Depot的信息安全系统非常稳固，但Home Depot前员工们则指责公司安全系统千仓百孔，不但使用早已过期杀毒软件——2007年购买的一款赛门铁克防病毒软件，而且甚至从来不对网络行为进行监控，因此无法发现来自POS的异常流量。

并非巧合的是，根据卡巴斯基对POS恶意软件Backoff的调查，几乎所有受害企业都没有意识到已被木马感染内部系统，他们在重复Target的错误，Target本可避免泄漏事故，但Target错误关闭了安全软件的一个重要功能，结果任由一场本可避免的灾难发生，事实上一些基本的安全工具和管理制度（例如定期的网络监控）就能发现这些木马产生的异常流量。

支付卡行业安全标准PCI要求企业至少每个季度进行一次第三方安全审计和漏洞扫描。但是Home Depot的两位前安全员工表示Home Depot很少进行漏洞扫描，而且仅仅针对少数门店，而且安全团队甚至无法获得授权对一些用户数据处理系统进行安全检查。