De Amerikaanse bank Morgan Stanley heeft ingestemd met de betaling van een schikking van 35 miljoen dollar, nadat gevoelige klantgegevens waren gelekt.
Tussen 2015 en 2020 huurde Morgan Stanley voor een periode van vijf jaar, meerdere malen een verhuis- en opslagbedrijf in om de ontmanteling van oude harde schijven en servers te behandelen. Op deze dragers stonden de privégegevens van ruim 15 miljoen klanten. Het bleek uit onderzoek van de Amerikaanse beurswaakhond Securities and Exchange Commission (SEC), dat het verhuisbedrijf dat werd geselecteerd door de bank geen expertise had in de vernietiging van dergelijke houders met persoonsgegevens.
Nog kwalijker was het feit dat Morgan Stanley de schijven niet had versleuteld, voordat ze aan het verhuisbedrijf werden overhandigd. Dit leidde ertoe dat de persoonlijke gegevens van klanten openlijk beschikbaar waren op duizenden servers en harde schijven, zonder enige vorm van bescherming. De SEC ontdekte dit nadat het verhuisbedrijf de dragers doorverkocht aan een derde partij, die op haar beurt de schijven via veilingsites verkocht. Een groot deel van deze schijven is nog niet teruggevonden.
Boete van 35 miljoen dollar
Gurbir Grewal, directeur van de SEC Enforcement Division, zei dat de fouten van Morgan Stanley “verbazingwekkend” waren en dat het bedrijf “ernstig tekortschoot” in de bescherming van de persoonlijke, zeer gevoelige gegevens van haar klanten.
“Als deze gevoelige informatie niet goed wordt beschermd, kan het in verkeerde handen vallen en desastreuze gevolgen hebben voor beleggers”, aldus Grewal. “De actie van vandaag stuurt een duidelijke boodschap naar financiële instellingen dat ze hun verplichting om dergelijke gegevens te beveiligen serieus moeten nemen.”
In een reactie aan TechCrunch liet Morgan Stanley weten: “We zijn blij dat we deze zaak kunnen oplossen. We hebben de betrokken klanten geïnformeerd over deze zaken, die enkele jaren geleden plaatsvonden en hebben geen ongeautoriseerde toegang tot, of misbruik van, persoonlijke klantinformatie ontdekt”. Het ging er ook mee akkoord een boete van 35 miljoen dollar te betalen om de aanklacht te schikken.
Morgan Stanley is geen onbekende met datalekken
Bij een andere grote misstap van de bank in 2019, heeft de SEC een soortgelijk incident aan het licht gebracht. Toen was de bank van plan om ongeveer 500 gegevensdragers met klantgegevens en consumentenrapporten te vernietigen. Echter toen verantwoordelijken later gingen controleren of alle houders daadwerkelijk waren vernietigd, bleken er 42 te zijn kwijtgeraakt. Ook kwam naar voren dat de dragers uitgerust waren met encryptiecapaciteiten, maar dat deze niet altijd waren ingeschakeld.
En in 2016 betaalde de bank een boete van 1 miljoen dollar, nadat een voormalig medewerker de gegevens had gestolen van ruim 730.000 rekeningen. De Amerikaanse bank werd verweten de klantgegevens niet goed te hebben beschermd. De voormalige werknemer, Galen Marsh, werd veroordeeld tot drie jaar voorwaardelijk voor het illegaal afluisteren van het computersysteem van de bank en het meenemen van de klantgegevens tussen 2011 en 2014.
Datalekken komen vaak voor
Datalekken komen regelmatig voor. Recentelijk raakte bekend dat het datalek bij Twitter, dat vorige maand aan het licht kwam, groter blijkt dan in eerste instantie gemeld.
De aanvaller bleek niet 5,4 miljoen accounts te hebben onderschept, zoals eerst werd gemeld, maar 6,7 miljoen accounts, zo beweert beveiligingsonderzoeker Troy Hunt van datalekzoekmachine ‘Have I Been Pwned.’
Door een kwetsbaarheid in het platform van Twitter konden telefoonnummers en e-mailadressen van Twitter-accounts worden achterhaald, ook al had de gebruiker deze velden afgeschermd.
De fout is in januari van dit jaar hersteld, maar de aanvaller had toen al toegeslagen en de gegevens via internet te koop aangeboden. Het gaat om profielteksten, e-mailadressen, telefoonnummers, profielfoto’s en gebruikersnamen.
(as)
