Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.
Fullständig biografi publicerad i Zero Day den 5 januari 2022 | Ämne: Säkerhet
Morgan Stanley har gått med på en förlikningssumma på 60 miljoner dollar för att lösa en process om dataintrång.
Den amerikanska bank- och finansjätten var föremål för en grupptalan efter två dataexponeringsincidenter som involverade cirka 15 miljoner nuvarande och tidigare kunder.
Enligt motionen (.PDF) togs äldre utrustning ur drift under 2016 och 2019 som innehöll personlig identifierbar information (PII) från klienter. Utrustningen torkades dock inte ren från denna känsliga information före försäljningen och datamängderna kan då ha exponerats, på ett okrypterat sätt, och tillgängliga att se av köparna.
Rättsdokument tyder på att den pensionerade utrustningen inkluderade gamla servrar och annan datacenterteknik.
2017 kontaktades Morgan Stanley av en av dessa leverantörer som berättade för företaget att de hade tillgång till kunddata.
“Under 2020, efter en utredning, instruerade Office of Comptroller of Currency (OCC) Morgan Stanley att informera om datasäkerhetsincidenterna till sina potentiellt drabbade nuvarande och tidigare kunder”, står det i motionen. “Morgan Stanley började distribuera meddelanden i juli 2020. Åtgärden från OCC resulterade i ett samtyckesbeslut som säger att Morgan Stanley “misslyckades med att effektivt bedöma eller ta itu med riskerna i samband med avvecklingen av dess hårdvara.”
Efter anmälan inleddes en grupptalan 2020. Separat utfärdades böter på 60 miljoner USD av OCC för dataskyddsfel.
Morgan Stanley har förnekat anspråk på ansvar. Men om förlikningsbeloppet har godkänts av en federal domstolsdomare i Manhatten, kommer 60 miljoner USD att tilldelas dem som kan påverkas av en förlikningsfond.
Klagande kommer att ha rätt till minst 24 månaders bedrägeriförsäkringstjänster och varje klassmedlem kan göra anspråk på upp till 10 000 USD för egenutgifter och 100 USD i “förlorad tid” (fyra timmar för 25 USD per timme) även om ytterligare förlorade timmar kommer att övervägas om godtagbara bevis tillhandahålls.
Banken har också gått med på att anlita en tredje part för att försöka hitta utestående utrustning under 12 månader, varav en del har återvunnits.
Morgan Stanley sa till Bloomberg i ett uttalande, “Vi har tidigare meddelat alla potentiellt påverkade kunder angående dessa ärenden, som inträffade för flera år sedan, och är glada över att kunna lösa denna relaterade rättstvist.”
Tidigare och relaterad täckning
De största dataintrången, hackarna 2021
Dataintrång: Broward Health varnar 1,3 miljoner patienter, personal för “medicinsk identitetsstöld”
Kostnad för företagsdataintrång nått rekord under covid-19-pandemin
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter