Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld biografi udgivet i Zero Day den 5. januar 2022 | Emne: Sikkerhed
Morgan Stanley har indvilget i et forligsbeløb på $60 millioner for at løse en sag om databrud.
Den amerikanske bank- og finansgigant var genstand for et gruppesøgsmål efter to dataeksponeringshændelser, der involverede cirka 15 millioner nuværende og tidligere kunder.
Ifølge forslaget (.PDF) blev ældre udstyr taget ud af drift i 2016 og 2019, der indeholdt de personligt identificerbare oplysninger (PII) fra klienter. Udstyret blev dog ikke renset for disse følsomme oplysninger før salg, og datasættene kan derefter være blevet eksponeret, på en ukrypteret måde, og tilgængelige for visning af køberne.
Retsdokumenter tyder på, at det pensionerede udstyr inkluderede gamle servere og anden datacenterteknologi.
I 2017 blev Morgan Stanley kontaktet af en af disse leverandører, som fortalte virksomheden, at de havde adgang til klientdata.
“I 2020, efter en undersøgelse, pålagde Office of Comptroller of Currency (OCC) Morgan Stanley at give besked om datasikkerhedshændelser til sine potentielt berørte nuværende og tidligere kunder,” lyder det i forslaget. “Morgan Stanley begyndte at distribuere meddelelsesbreve i juli 2020. OCC's handling resulterede i en samtykkeordre, der siger, at Morgan Stanley “ikke effektivt vurderede eller adresserede risiciene forbundet med nedlukningen af dets hardware.”
Efter meddelelsen blev der indledt et gruppesøgsmål i 2020. Separat blev der udstedt en bøde på 60 millioner USD af OCC for databeskyttelsesfejl.
Morgan Stanley har nægtet krav om ansvar. Men hvis forligsbeløbet er godkendt af en føderal domstolsdommer i Manhatten, vil $60 millioner blive tildelt til dem, der potentielt er påvirket gennem en forligsfond.
Ansøgere vil være berettiget til mindst 24 måneders bedrageriforsikringstjenester, og hvert klassemedlem kan kræve op til $10.000 til egne udgifter og $100 i 'tabt tid' (fire timer til $25 i timen), selvom yderligere tabte timer vil overvejes, hvis der fremlægges acceptable beviser.
Banken har også indvilget i at hyre en tredjepart til at forsøge at lokalisere udestående udstyr i 12 måneder, hvoraf noget er blevet inddrevet.
Morgan Stanley fortalte Bloomberg i en erklæring: “Vi har tidligere underrettet alle potentielt berørte kunder om disse forhold, som fandt sted for flere år siden, og vi er glade for at løse denne relaterede retssag.”
Tidligere og relateret dækning
De største databrud, hacks i 2021
Databrud: Broward Health advarer 1,3 millioner patienter, personale om 'medicinsk identitetstyveri'
Enterprise databrud omkostninger nåede rekordhøje under COVID-19-pandemien
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre