本周三,摩根士丹利(MorganStanley)同意支付3500萬美元的罰款,以解決美國證券交易委員會(SEC)對其發生在2016至2021年的“驚人”安全事故的指控。這款金融巨頭在當時並未妥善處置從數據中心退役的硬盤,在未確定用戶信息刪除的情況下就進行公開拍賣。
根據 SEC 的指控,摩根士丹利共計拍賣大約 1000 塊未加密的硬盤,這些硬盤內均含有客戶的一些資料。SEC 還指控該公司不當處置數千個硬盤驅動器和備份磁介質,暴露超過 1500 萬摩根士丹利客戶的數據。官員們稱安全故障“令人震驚”。
SEC 執法部門主管古爾比爾·S.格魯瓦爾(Gurbir S. Grewal)表示:“在這起案件中,MSSB 的錯誤令人震驚。客戶將他們的個人信息委托給金融專業人士,理解並期望這些信息會受到保護,而 MSSB 在這方面做得很糟糕。如果得不到妥善保護,這些敏感信息最終可能落入壞人之手,並對投資者造成災難性後果”。
據美國證券交易委員會稱,摩根士丹利在 2016 年關閉兩個數據中心,該公司的疏忽導致一連串的安全漏洞。SEC 表示“作為一傢大型金融機構,應該遵循一些非常嚴格的準則來處理退役硬件”。
首先,摩根士丹利沒有破壞硬盤驅動器或讓內部 IT 團隊執行清零操作,而是與第三方搬傢公司簽訂合同來處理硬件。搬傢公司獲取 53 個 RAID 陣列,包括大約 1,000 個 HDD 和大約 8,000 個備份磁帶。據稱,這傢未具名的公司在退役存儲介質方面沒有經驗。
搬傢公司最初分包一傢 IT 公司來擦拭驅動器。然而,兩傢公司發生爭吵,搬傢公司開始將存儲設備出售給另一傢公司,後者轉而在網上拍賣它們,但沒有刪除它們。
2017 年,在退役項目開始將近一年後,來自俄克拉荷馬州的一名 IT 專業人士給摩根士丹利發電子郵件,告訴摩根士丹利他有包含公司客戶數據的硬盤。