Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full bio publisert i Zero Day 5. januar 2022 | Emne: Sikkerhet
Morgan Stanley har gått med på et forlikstall på 60 millioner dollar for å løse et søksmål om datainnbrudd.
Den amerikanske bank- og finansgiganten ble gjenstand for en gruppesøksmål etter to hendelser med dataeksponering som involverte omtrent 15 millioner nåværende og tidligere kunder.
I følge bevegelsen (.PDF) ble eldre utstyr tatt ut av drift i 2016 og 2019 som inneholdt personlig identifiserbar informasjon (PII) til klienter. Utstyret ble imidlertid ikke tørket rent for denne sensitive informasjonen før salg, og datasettene kan da ha blitt eksponert, på en ukryptert måte, og tilgjengelig for visning av kjøperne.
Retsdokumenter antyder at det pensjonerte utstyret inkluderte gamle servere og annen datasenterteknologi.
I 2017 ble Morgan Stanley kontaktet av en av disse leverandørene som fortalte selskapet at de hadde tilgang til klientdata.
“I 2020, etter en undersøkelse, instruerte Office of Comptroller of Currency (OCC) Morgan Stanley om å gi melding om datasikkerhetshendelsene til sine potensielt berørte nåværende og tidligere kunder,” heter det i forslaget. “Morgan Stanley begynte å distribuere varselbrev i juli 2020. Handlingen fra OCC resulterte i en samtykkeordre som sa at Morgan Stanley “mislyktes i å effektivt vurdere eller adressere risikoene forbundet med dekommisjonering av maskinvaren.”
Etter varsling ble det satt i gang et gruppesøksmål i 2020. Separat ble det utstedt en bot på 60 millioner dollar av OCC for databeskyttelsessvikt.
Morgan Stanley har nektet krav om ansvar. Men hvis forliksbeløpet er godkjent av en føderal domstolsdommer i Manhatten, vil 60 millioner dollar tildeles de potensielt påvirket gjennom et forliksfond.
Fordringshavere vil ha rett til minst 24 måneders svindelforsikringstjenester, og hvert klassemedlem kan kreve opptil $10 000 for egenutgifter og $100 i “tapt tid” (fire timer til $25 per time), selv om ytterligere tapte timer vil vurderes dersom akseptable bevis er fremlagt.
Banken har også gått med på å ansette en tredjepart for å prøve å finne utestående utstyr i 12 måneder, hvorav noe er gjenfunnet.
Morgan Stanley sa til Bloomberg i en uttalelse: “Vi har tidligere varslet alle potensielt berørte kunder angående disse sakene, som skjedde for flere år siden, og er glade for å løse denne relaterte rettssaken.”
Tidligere og relatert dekning
De største datainnbruddene, hackene i 2021
Datainnbrudd: Broward Health advarer 1,3 millioner pasienter, ansatte om «medisinsk identitetstyveri»
Kostnader for datainnbrudd i bedrifter nådde rekordhøye under COVID-19-pandemien
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre