FTC treats TJX Unfairly . . . Compare Hannaford & Okemo

Is PCI Non-Compliance Legally Wrong?


What is Reasonable Computer Security for Credit Card Data?

The Federal Trade Commission should rethink cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law of credit card data security applicable to merchants like TJX. As a consequence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data security breach TJX disclosed in 2007, TJX and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC entered a settlement requiring TJX for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 20 years to engage in an expensive, government-supervised data security program. The program entails cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maintenance of controls and extensive paperwork reporting about those controls to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC.


According to FTC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grounds for its action against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retailer were that TJX had engaged in "unfair practices" in violation of Section 5(a) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Trade Commission Act, 15 U.S.C § 45(a).

The "unfairness," according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC, was that TJX collected private credit card information from consumers, but failed to use adequate security procedures to protect it. This resulted in compromise of tens of millions of credit card accounts. By declaring that TJX was "unfair," FTC
Payment Card Insecurity
implied TJX had been bad. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, FTC found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TJX incident was worse than just unfortunate or embarrassing. It was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of punishable culpability by TJX.

TJX Was Not Deceptive or Utterly Inattentive to Security

Note what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC did not allege about TJX. The FTC did not allege TJX engaged in a "deceptive trade practice" in violation of Section 5(a) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC Act. An example of deception is for an enterprise (like ChoicePoint) to tell individuals it will secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fail to do so.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC did not allege TJX was utterly inattentive to security. The FTC essentially said TJX was unfair because it was not secure enough . . . not secure enough to defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophisticated criminal organization that broke into it. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remedy for this unfairness is that TJX should implement security controls, more or less like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI-DSS (Payment Card Industry Data Security Standard). The implication: if a merchant follows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it has achieved "fairness."

FTC's Remedy Does Not Achieve Its Goal

Compare what FTC just said to TJX, with what happened at retailer Hannaford. Hannaford announced that 4.2 million credit card numbers were stolen from it, but Hannaford says it was PCI compliant during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in question! Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers tapped fiber-optic cable that "security experts had believed was secure."

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, Okemo Mountain Resort, a Vermont merchant, says it complied with PCI, but was still broken into. Pereira, "Credit Card Security Falters," WSJ, Apr 29, 08.

The Hannaford and Okemo experiences suggest PCI compliance is not enough to defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talented criminal gangs assaulting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card system today. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, compliance with controls like those FTC imposed on TJX is not enough to protect credit card data.

The reality may be that it is impractical for merchants to protect credit card data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals who broke into TJX and Hannaford and Okemo. If that is true, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n TJX did not engage in unfairness. It was a victim of criminals who are swiftly becoming more powerful.

Why Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC Ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Credit Card Security Problem?

In essence FTC said TJX was an unfair bad guy because it could not keep up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers. But by that standard, is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire credit card system "unfair?" Instead of picking on particular players like TJX, why doesn't FTC investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card systems as a whole (Visa, Mastercard, American Express et al.) and probe whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r credit cards are inherently "unfair" to consumers because criminals can defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems? Why doesn't FTC require each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems to devise better designs and controls so consumers are no longer subjected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "unfairness" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems as presently designed? (See this post on alternative ways to aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate credit card users and transactions.)

My point is that TJX was not "unfair." It was unlucky. Its defenses were similar to that of many (most) of its peers at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. They too would have fallen had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y been subjected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same criminal blitzkrieg. And during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in question, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI was vague, reltively new and subject to wide interpretation and debate. (It still is.) The same is true for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls FTC just imposed on TJX.

FTC Is Confused

FTC is well-meaning here, but it is misdirected. By singling out TJX and chastising it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "unfairness" "bad guy" rhetoric, FTC distracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary public conversation. It implies that if we can just punish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lazy merchants enough (and force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to comply with PCI and similar controls), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n credit cards will be safe. That's wrong.

The criminal warfare directed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card system is more powerful than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory behind PCI. The whole credit card system needs to change. As a society we need to focus on beating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals, and stop flogging victims like TJX as unfair privacy infringers.

--Benjamin Wright

(I have posted more remarks on TJX and FTC.)

Update: I explain how August 2008 indictments of TJX hackers put FTC's treatment of TJX into perspective.

Update: Many of TJX's peers did, apparently, fall victim to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same blitzkrieg as TJX. Prosecutors say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gang that broke into TJX also broke into 8 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r large retailers, though some of those retailers cannot confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defenses were breached. Pereira et al., "Some Stores Quiet Over Card Breach," WSJ, Aug 11, 08, B1.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Update: September 2008 prosecutors say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TJX hackers broke into "numerous ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r businesses" in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8 previously disclosed. Ross Kerber, "Hacker pleads guilty in breach," Boston Globe, Sept. 12, 2008. Therefore, TJX was not unusual; TJX was no weaker at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in question than was standard and common in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail industry. Query whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r FTC will open investigations of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r retailers and claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were "unfair" also.

Update March 2009: Heartland Payment Systems maintains that an auditor confirmed it was PCI compliant a mere month before hackers broke into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and stole credit card data. Visa investigated after-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-fact, and Visa has tried to say that Heatland was not PCI compliant. But PCI expert David Taylor observes that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of an investigation is to determine that an organization is not in compliance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is easy to achieve. Perfect data security never exists in practice.

10 comments:

  1. Side comment. I'd have a hard time putting Hannaford and TJX in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same boat. TJX problems began by continued use of an encryption scheme that was known to be broken since 2001. They knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had issues.
    Believing a physical fiber channel link is secure is a lot higher on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resonableness scale.

    ReplyDelete
  2. >>I'd have a hard time putting Hannaford and TJX in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same boat.<<

    They were both subjected to highly organized, state-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-art attacks. By 20th Century standards, those two attacks would have qualified as paramilitary bank heists.

    >>TJX problems began by continued use of an encryption scheme that was known to be broken since 2001. They knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had issues.<<

    Show me a retail merchant that is not going to have "issues" and mistakes come to light when it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of a paramilitary bank heist.

    >>Believing a physical fiber channel link is secure is a lot higher on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resonableness scale.<<

    But it was known that fiber and lots of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects of Hannnaford's defenses could have been breached.

    Inevitably, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experts look back at Hannaford, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll say, "Oh, it's obvious Hannaford should have done this and should have done that." 20/20 hindsight is easy.

    There is one big difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TJX incident and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hannaford incident. TJX happened 2005-2006, whereas Hannaford happened 2008. Those are two different times in technology history. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard industry practice among retailers in 2008 is to have invested a lot more in security than was standard practice in 2005. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals are stronger (more technologically advanced and, thanks to better communications, better organized and better able to tap talent around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world) today than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were three years ago.

    When state-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-art criminals attack mere merchants, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals are going to win sometimes. It is a fact. It is a fact given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 present design and mechanics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card system.

    Both TJX and Hannaford were informed, aware, thinking and making good-faith judgment calls using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day. FTC is wrong to label good-faith judgments as "unfair". At least, it is wrong unless FTC is willing to hold all aspects of credit card design and mechanics to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same standard.

    ReplyDelete
  3. Also to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first commenter above: I appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thoughtful and relevant input! Thank you. --Ben

    ReplyDelete
  4. And concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC: The FTC clearly desires to advance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public's best interests. The agency is working hard in this new information age and should be commended. But I believe FTC would be wise to re-evaluate its approach to credit cards. --Ben

    ReplyDelete
  5. Ben,

    I'm glad I ran into this article. We are seeing a phenomenon where we spend more time punishing one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims and ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increasingly sophisticated criminals behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

    We need to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem as a whole, which would entail looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire payment card industry. I'm all for an outside entity doing this instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, itself.

    As long as everybody keeps going after each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs are going to rack up and we will all pay for it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end.

    It never ceases to amaze me that just about any security we come up can be defeated if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 someone is motivated enough to do it.

    Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great read and forward thinking!

    ReplyDelete
  6. Assuming a copper or fiber wired network connection is secure is a mistake. Although intuitively an optical fiber connection seems secure from intrusion, physically tapping and capturing information is quite simple with inexpensive, off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf hardware. Here is a link to a $400 Netoptics fiber tap on ebay - http://cgi.ebay.com/NEW-NetOptics-Gigabit-Fiber-Tap-96042-G-20-62-5um_W0QQitemZ270179293290QQihZ017QQcategoryZ11175QQrdZ1QQssPageNameZWD1VQQ_trksidZp1638.m118.l1247QQcmdZViewItem. Copper equivalents are even less expensive and usually built into telecom equipment.

    Fiber taps are often advertised as "passive" and "unobtrusive". Passive means no power is required so it can be placed anywhere cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a fiber interconnect - a patch panel or splice for example. Unobtrusive means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is virtually no impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signal level on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fiber itself so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap can be detected only with extremely sensitive equipment that is too expensive for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of telecom budgets to support.

    Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap is installed anything traversing that piece of fiber also goes out anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r set of fiber ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap. Capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step. The cheapest way to do that is to use freeware on a PC, maybe a cheap laptop with a decent battery, and spool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to disk. You won't get all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic on a busy network but most network connections are not fully utilized so you can easily get enough to do damage. Let's take it one more simple step and remotely control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r laptop in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy's car in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parking lot. Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 captured data can be copied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car and wiped off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building so it takes more time to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics to figure out exactly what was stolen.

    This is an unsophisticated but very feasible scenario executable for under $2,000. Double or triple that investment and you could eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tap multiple connections cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way or use purpose-built technology that does a better job of capturing more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic. The only way to be certain you are preventing this kind of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic or encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stored data before sending it through an unencrypted network. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r solution is less expensive than getting your name in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper after a breach.

    - Steve

    ReplyDelete
  7. TJX was negligent in using a wireless protocol that could be hacked by a 6 year old child - hardly a "state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 art" attack. And, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir internal IT deparment had reported that it was insecure and nothing was done. This falls way outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of "due diligence" and is actionable both by regulatory and judicial entities. I do agree that A) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credit card industry needs to be monitored better, as it is so critical to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American economy and B) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC is not equipped to do it. To implicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC is doing a good job, to me (as a person who has worked in IT security for a long time, and in light of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of security breaches that continue to occur daily) is naive. I have never read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real report of what happened at Hannaford - but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last I heard was that malware was placed on internal servers - I heard nothing about a fiber optic tap. Again, this falls outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of due diligence, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many ways now to detect malware as long as you sysadmins & security professionals are alert, not overworked and allowed to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

    ReplyDelete
  8. Nellwal's on track.

    WEP was cracked in 2001. The store was still running WEP in 2005. By 2005, WEP was not considered a valid form of encryption by anyone, anywhere.

    If a retailer was running WEP on point of sales terminals in 2005, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y clearly and obviously were negligent, if not in a legal sense, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n for certain in a moral sense. If a retailer, in 2005, had designed a network such that a POS hack could propagate up stream, unchecked, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate network, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retailer clearly and obviously was eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r negligent or incompetent.

    That's not a 'paramilitary bank heist'. That's only slightly above script kiddie skills.

    They (TJX) took personal and financial information of mine, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y stored it far longer than necessary to complete my transactions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did barely trivial security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y allowed criminals access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data for 18 months, and during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 18 months cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had absolutely no clue it was happening.

    TSX should have suffered some form of severe penalty for that level on incompetence (or negligence). Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTC is where that should happen or not I don't know (or care). If capitalism worked, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y be long gone. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market would have 'corrected' cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. That probably would have been more appropriate than a minor fine.

    ReplyDelete