本周三,摩根士丹利(Morgan Stanley)同意支付 3500 萬美元的罰款,以解決美國證券交易委員會 (SEC) 對其發生在 2016 至 2021 年的“驚人”安全事故的指控。這款金融巨頭在當時並未妥善處置從數據中心退役的硬盤,在未確定用戶信息刪除的情況下就進行公開拍賣。
根據 SEC 的指控,摩根士丹利共計拍賣了大約 1000 塊未加密的硬盤,這些硬盤內均含有客戶的一些資料。SEC 還指控該公司不當處置了數千個硬盤驅動器和備份磁介質,暴露了超過 1500 萬摩根士丹利客戶的數據。官員們稱安全故障“令人震驚”。
SEC 執法部門主管古爾比爾·S.格魯瓦爾(Gurbir S. Grewal)表示:“在這起案件中,MSSB 的錯誤令人震驚。客戶將他們的個人信息委託給金融專業人士,理解並期望這些信息會受到保護,而 MSSB 在這方面做得很糟糕。如果得不到妥善保護,這些敏感信息最終可能落入壞人之手,並對投資者造成災難性後果”。
據美國證券交易委員會稱,摩根士丹利在 2016 年關閉了兩個數據中心,該公司的疏忽導致一連串的安全漏洞。SEC 表示“作為一家大型金融機構,應該遵循一些非常嚴格的準則來處理退役硬件”。
首先,摩根士丹利沒有破壞硬盤驅動器或讓內部 IT 團隊執行清零操作,而是與第三方搬家公司簽訂合同來處理硬件。搬家公司獲取了 53 個 RAID 陣列,包括大約 1,000 個 HDD 和大約 8,000 個備份磁帶。據稱,這家未具名的公司在退役存儲介質方面沒有經驗。
搬家公司最初分包了一家 IT 公司來擦拭驅動器。然而,兩家公司發生了爭吵,搬家公司開始將存儲設備出售給另一家公司,後者轉而在網上拍賣它們,但沒有刪除它們。
2017 年,在退役項目開始將近一年後,來自俄克拉荷馬州的一名 IT 專業人士給摩根士丹利發了電子郵件,告訴摩根士丹利他有包含公司客戶數據的硬盤。