Het Amerikaanse grootwinkelbedrijf TJX dat de creditcardgegevens van 94 miljoen klanten liet stelen, heeft nu een werknemer ontslagen die beveiligingsproblemen bij het bedrijf via een online forum aan de kaak stelde. Bijna twee jaar lang wisten criminelen via een met WEP-beveiligde WiFi-verbinding toegang te krijgen tot de creditcardgegevens, die ook op grote schaal misbruikt werden. Beveiliging blijkt ook nu nog een probleem voor TJX. Zo kon personeel met lege wachtwoorden inloggen, draaiden servers in administrator mode, schreven managers hun wachtwoorden en logins op post-it notes.

Klokkenluider Nick Benson, online bekend als CrYpTiC_MauleR, waarschuwde zijn leiding voor de problemen, maar die negeerden hem. Alleen het wachtwoordbeleid werd op de schop genomen. Logde hij eerst in met zijn gebruikersnaam als wachtwoord, na de aanpassing was er helemaal geen wachtwoord meer nodig. Opmerkelijk, aangezien na bekendmaking van de gigantische creditcarddiefstal er wel sterke wachtwoorden werden gebruikt, maar met het incident achter de rug lijkt het bedrijf weer een stap terug te doen qua beveiliging.

Benson plaatste meerdere keren op het forum van sla.ckers.org zijn bevindingen. TJX had echter een bedrijf ingehuurd dat internetberichten over de retailgigant monitort en zodoende wist men uiteindelijk Benson te achterhalen. De reden voor het ontslag was dat hij vertrouwelijke informatie over het bedrijf lekte.