<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
FTC will eventually get involved with a suit of unfair business
practice as well for failure to take appropriate security measures to
protect sensitive information.&nbsp; Choice Point and CardSystems settled
with the FTC for $10 million in civil penalties and $5 million for
consumer redress. Both of these companies also have to have an external
audit performed every 2 years, for 20 years, by an independent security
expert to attest to their controls on the systems.<br>
<br>
<br>
<br>
B.K. DeLong wrote:
<blockquote
 cite="mida98a91c0703290832n284d520cha20909d2ffecb581@mail.gmail.com"
 type="cite">
  <pre wrap="">Don't forget there's probably a PCI fine as well as the possibility of
loss of processing rights.  Though, that would kill TJX, (not that
they're not hurting already).

On 3/29/07, DAIL, ANDY <a class="moz-txt-link-rfc2396E" href="mailto:ADAIL@sunocoinc.com">&lt;ADAIL@sunocoinc.com&gt;</a> wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">At $30 per card, that's close to $1.3B just in re-issuance costs, in
addition to any fines or lawsuits.  They'll never be able to account for
the cost of lost business.

I'd wager a comprehensive PCI-DSS program looks like a bargain, in
hindsight.


-----Original Message-----
From: <a class="moz-txt-link-abbreviated" href="mailto:dataloss-bounces@attrition.org">dataloss-bounces@attrition.org</a>
[<a class="moz-txt-link-freetext" href="mailto:dataloss-bounces@attrition.org">mailto:dataloss-bounces@attrition.org</a>] On Behalf Of B.K. DeLong
Sent: Wednesday, March 28, 2007 9:13 PM
To: lyger
Cc: <a class="moz-txt-link-abbreviated" href="mailto:dataloss@attrition.org">dataloss@attrition.org</a>
Subject: Re: [Dataloss] TJX breach involved 45.7m cards, company reports


Finally. Glad we finally know.

On 3/28/07, lyger <a class="moz-txt-link-rfc2396E" href="mailto:lyger@attrition.org">&lt;lyger@attrition.org&gt;</a> wrote:
    </pre>
    <blockquote type="cite">
      <pre wrap="">(Keep in mind that these are credit card NUMBERS, and not PEOPLE...
people often have more than one card.  Attrition's Dataloss Database
(DLDOS) will be updated accordingly)

<a class="moz-txt-link-freetext" href="http://www.boston.com/business/ticker/2007/03/tjx_breach_invo.html">http://www.boston.com/business/ticker/2007/03/tjx_breach_invo.html</a>

At least 45.7 million credit and debit card numbers were stolen by
hackers who broke into the computer systems at the TJX Cos. in
Framingham and the United Kingdom and siphoned off data over a period
of several years, making it the biggest breach of personal data ever
reported, according to security specialists.

TJX, the Framingham discounter that operates the T.J. Maxx and
Marshalls clothing chains, also reported in a regulatory filing
yesterday that another 455,000 customers who returned merchandise
without receipts had their personal data stolen, including drivers'
license numbers. "It's the biggest card heist ever," said Avivah
Litan, vice president of Gartner Inc. "This was obviously done over a
long period of time, in many locations. It's done considerable
damage."

[...]
_______________________________________________
Dataloss Mailing List (<a class="moz-txt-link-abbreviated" href="mailto:dataloss@attrition.org">dataloss@attrition.org</a>)
<a class="moz-txt-link-freetext" href="http://attrition.org/dataloss">http://attrition.org/dataloss</a> Tracking more than 158 million
compromised records in 609 incidents over 7 years.

      </pre>
    </blockquote>
    <pre wrap="">
--
B.K. DeLong (K3GRN)
<a class="moz-txt-link-abbreviated" href="mailto:bkdelong@pobox.com">bkdelong@pobox.com</a>
+1.617.797.8471

<a class="moz-txt-link-freetext" href="http://www.wkdelong.org">http://www.wkdelong.org</a>                    Son.
<a class="moz-txt-link-freetext" href="http://www.ianetsec.com">http://www.ianetsec.com</a>                    Work.
<a class="moz-txt-link-freetext" href="http://www.bostonredcross.org">http://www.bostonredcross.org</a>             Volunteer.
<a class="moz-txt-link-freetext" href="http://www.carolingia.eastkingdom.org">http://www.carolingia.eastkingdom.org</a>   Service.
<a class="moz-txt-link-freetext" href="http://bkdelong.livejournal.com">http://bkdelong.livejournal.com</a>             Play.


PGP Fingerprint:
38D4 D4D4 5819 8667 DFD5  A62D AF61 15FF 297D 67FE

FOAF:
<a class="moz-txt-link-freetext" href="http://foaf.brain-stream.org">http://foaf.brain-stream.org</a>
_______________________________________________
Dataloss Mailing List (<a class="moz-txt-link-abbreviated" href="mailto:dataloss@attrition.org">dataloss@attrition.org</a>)
<a class="moz-txt-link-freetext" href="http://attrition.org/dataloss">http://attrition.org/dataloss</a> Tracking more than 158 million compromised
records in 609 incidents over 7 years.

This message and any files transmitted with it is intended solely for the designated recipient and may contain privileged, proprietary or otherwise private information. Unauthorized use, copying or distribution of this e-mail, in whole or in part, is strictly prohibited. If you have received it in error, please notify the sender immediately and delete the original and any attachments.
_______________________________________________
Dataloss Mailing List (<a class="moz-txt-link-abbreviated" href="mailto:dataloss@attrition.org">dataloss@attrition.org</a>)
<a class="moz-txt-link-freetext" href="http://attrition.org/dataloss">http://attrition.org/dataloss</a>
Tracking more than 203 million compromised records in 609 incidents over 7 years.

    </pre>
  </blockquote>
  <pre wrap=""><!---->

  </pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">-- 
James Ritchie
CISA, MCSE, MCP+I, M-CIW-D, CIW-CI, Inet+, Network+, A+

Attachments with this email, not explicitly referenced, should not be opened. Always scan your email and their associated attachments for viruses prior to opening.

This message and any accompanying documents are confidential and may contain information covered under the Privacy Act, 5 USC 552(a), the Health Insurance Portability and Accountability Act (PL 104-191), or the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521 and its various implementing regulations and must be protected in accordance with those provisions. Unauthorized disclosure or failure to maintain the confidentiality of the information may result in civil or criminal sanctions.  

This e-mail is strictly confidential and intended solely for the addressee. Should you not be the intended addressee you have no right to any information contained in this e-mail. If you received this message by mistake you are kindly requested to inform us of this and to destroy the message.</pre>
</body>
</html>