Morgan Stanley descartou discos rígidos antigos sem excluir os dados do cliente primeiro

morgan stanley discarded old hard drives without deleting cu r1f2.1200

Um investigação pela Comissão de Valores Mobiliários dos EUA (SEC) descobriu que o Morgan Stanley Smith Barney, agora conhecido como Morgan Stanley Wealth Management, colocava em risco as informações pessoais de 15 milhões de clientes devido à maneira como lidava com discos rígidos e servidores antigos.

A partir de 2015, e por um período de cinco anos, o Morgan Stanley contratou uma empresa de movimentação e armazenamento várias vezes para lidar com o descomissionamento de discos rígidos e servidores antigos. Houve dois problemas com esta decisão. A primeira é que a empresa selecionada para lidar com as unidades "não tinha experiência ou conhecimento em serviços de destruição de dados", segundo a SEC. O segundo problema foi que o Morgan Stanley não criptografou os dados armazenados nessas unidades e não tentou excluir nada antes de entregá-los à empresa de mudanças.

Esse cenário fez com que os dados pessoais de milhões de clientes do Morgan Stanley estivessem disponíveis em milhares de discos rígidos antigos sem nenhuma forma de proteção. A SEC descobriu que, em vez de excluir permanentemente os dados armazenados nas unidades, a empresa de mudança simplesmente os vendia para terceiros, que por sua vez os vendiam em sites de leilões da Internet com os dados ainda intactos. A grande maioria desses discos rígidos nunca foi recuperada.

No total, a investigação da SEC descobriu registros mostrando que "42 servidores, todos potencialmente contendo PII de clientes não criptografados e informações de relatórios de consumidores, estavam faltando". Os dispositivos usados ​​pelo Morgan Stanley tinham a capacidade de criptografar os dados armazenados, mas isso nunca foi ativado.

Gurbir S. Grewal, diretor da Divisão de Execução da SEC, disse que as falhas do Morgan Stanley foram "surpreendentes" e que a empresa "ficou lamentavelmente aquém" de proteger as informações pessoais de seus clientes. O Morgan Stanley concordou com a conclusão da SEC de que "violou as Salvaguardas e Regras de Descarte sob o Regulamento SP", mas o fez sem admitir ou negar as conclusões. A empresa também concordou em pagar uma multa de US$ 35 milhões para liquidar as acusações contra ela.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Go up