Ένα πρόστιμο ύψους 5 εκατομμυρίων δολαρίων έχει επιβληθεί στην Morgan Stanley, καθώς όπως κατηγορείται δεν εξασφαλίζει σωστά τα προσωπικά δεδομένα των πελατών της, όταν απορρίπτει παλιό εξοπλισμό υπολογιστών.
Ένας πελάτης του οικονομικού οργανισμού, ο Timothy Smith, κατέθεσε την αγωγή εναντίον της Morgan Stanley, στο Επαρχιακό Δικαστήριο των ΗΠΑ για τη Νότια Περιοχή της Νέας Υόρκης, για λογαριασμό 100 περίπου πελατών που επηρεάστηκαν από την παραβίαση δεδομένων. Η αγωγή αναφέρεται σε περιστατικά που πραγματοποιήθηκαν τόσο το 2016 όσο και το 2019, όταν ο οργανισμός απενεργοποίησε ορισμένα τμήματα υπολογιστών, χωρίς πρώτα να φροντίσει να αφαιρέσει ολοκληρωτικά τα στοιχεία των πελατών.
Τα περιστατικά επιβεβαιώθηκαν από την Morgan Stanley, μέσω επιστολών ειδοποίησης παραβίασης δεδομένων που εστάλησαν στον γενικό εισαγγελέα της Καλιφόρνια και σε γενικούς εισαγγελείς άλλων κρατών. Σύμφωνα με όσα σημείωσε, τα δεδομένα που εκτέθηκαν ενδέχεται να περιλαμβάνουν ονόματα λογαριασμών και αριθμούς, αριθμό Κοινωνικής Ασφάλισης, αριθμό διαβατηρίου, στοιχεία επικοινωνίας, ημερομηνία γέννησης, αξία περιουσιακών στοιχείων και στοιχεία κατοχής. Σαν επανόρθωση, ο οργανισμός πρόσφερε στους πελάτες που επηρεάστηκαν δύο χρόνια προπληρωμένων υπηρεσιών πιστωτικής παρακολούθησης.
Τι οδήγησε στην διαρροή
“Το 2016, η Morgan Stanley έκλεισε δύο κέντρα δεδομένων και απενεργοποίησε τον εξοπλισμό υπολογιστών και στις δύο τοποθεσίες. Όπως συνηθίζεται, επικοινωνήσαμε με έναν προμηθευτή για να αφαιρέσουμε τα δεδομένα από τις συσκευές“, αναφέρει η επιστολή. “Στη συνέχεια μάθαμε ότι ορισμένες συσκευές που πιστεύεται ότι είχαν καθαριστεί από όλες τις πληροφορίες εξακολουθούν να περιέχουν ορισμένα μη κρυπτογραφημένα δεδομένα.”
Το 2019, έλαβε χώρα κι ένα δεύτερο περιστατικό, όπου η εταιρεία αποσύνδεσε και αντικατέστησε έναν server σε ένα τοπικό υποκατάστημα που περιείχε πληροφορίες σε κρυπτογραφημένους δίσκους. Όπως ανέφερε η Morgan Stanley: “κατά τη διάρκεια ενός πρόσφατου ελέγχου, δεν μπορέσαμε να εντοπίσουμε αυτήν τη συσκευή και ένα ελάττωμα λογισμικού σε αυτόν τον server θα μπορούσε να επιτρέψει την έκθεση ορισμένων δεδομένων.”
Η αγωγή ισχυρίζεται πως οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να υποκλέψουν τις προσωπικές πληροφορίες των πελατών από αυτές τις συσκευές και να τις χρησιμοποιήσουν για παράνομες δραστηριότητες.
Ωστόσο, Όπως δήλωσε ένας εκπρόσωπος της Morgan Stanley: «παρακολουθούμε συνεχώς την κατάσταση και δεν έχουμε εντοπίσει καμία μη εξουσιοδοτημένη δραστηριότητα που να σχετίζεται με το θέμα, ούτε την πρόσβαση ή την κατάχρηση προσωπικών πληροφοριών πελατών».
Τέλος, η αγωγή ισχυρίζεται επίσης ότι η Morgan Stanley:
- Δεν χρησιμοποίησε εύλογες διαδικασίες και πρακτικές ασφαλείας κατάλληλες για τη φύση των ευαίσθητων, μη κρυπτογραφημένων πληροφοριών πελατών που διατηρούσε.
- Θα μπορούσε να είχε αποτρέψει την παραβίαση δεδομένων κρυπτογραφώντας τα δεδομένα.
- Απέτυχε να παραδειγματιστεί από παρόμοιο προηγούμενο συμβάν.
