美国证券交易委员会已同意就摩根士丹利美邦 (MSSB) 未能保护约 1500 万客户的个人身份信息“令人震惊”而达成和解。
MSSB,现在被称为摩根士丹利财富管理,是银行业巨头摩根士丹利的财富和资产管理部门,本周同意支付 3500 万美元,以了结有关其未能妥善处置包含客户个人信息的硬盘驱动器和服务器的指控。数据可追溯至 2015 年的五年期间。
据美国证券交易委员会称,摩根士丹利聘请了一家“在数据销毁服务方面没有经验或专业知识”的搬家和存储公司,并且未能正确监控搬家公司的工作。后来在一个互联网拍卖网站上发现了一些硬盘驱动器,其中仍然存储着客户的个人数据。
“虽然 MSSB 恢复了一些设备,这些设备被证明包含数千条未加密的客户数据,但该公司尚未恢复绝大多数设备,”美国证券交易委员会在一份声明中表示。
美国证券交易委员会还声称,摩根士丹利在硬件更新计划中停用本地办公室和分支机构服务器时,丢失了 42 台可能包含未加密客户数据的服务器的踪迹。监管机构补充说,在此过程中,MSSB获悉被退役的本地设备已配备加密功能,但未能激活加密软件。
“MSSB 在这种情况下的失败令人震惊。客户将他们的个人信息委托给金融专业人士,他们理解并期望这些信息会受到保护,而 MSSB 在这方面做得非常糟糕,”美国证券交易委员会执法部门主任 Gurbir S. Grewal 说。 “如果保护不当,这些敏感信息最终可能落入坏人之手,并对投资者造成灾难性后果。今天的行动向金融机构发出了一个明确的信息,即他们必须认真履行保护此类数据的义务。”
在给 TechCrunch 的一份声明中,摩根士丹利没有承认或否认调查结果,但表示“很高兴能够解决这个问题”。
摩根士丹利发言人 Susan Siering 表示:“我们之前已就这些几年前发生的事情通知了适用的客户,并且没有发现任何未经授权的访问或滥用个人客户信息。”
美国证券交易委员会罚款的消息是在摩根士丹利去年因 Accellion 黑客事件而陷入数据泄露之后发布的。这家投资银行公司—— 对数据泄露并不陌生——承认攻击者通过侵入 Accellion 服务器窃取其客户的个人信息,该服务器用于文件共享和传输。的第三方供应商。
拥有 1500 万客户个人数据的硬盘被Carly Page拍卖后,摩根士丹利将支付 3500 万美元,最初发表在TechCrunch上
原文: https://techcrunch.com/2022/09/21/morgan-stanley-hard-drives-data-breach/