華爾街銀行摩根士丹利已同意支付 6000 萬美元,以解決客戶提起的訴訟,這些客戶稱該公司糟糕的安全措施使他們的個人資料處于危險之中。
2021年12月31日,代表約1500萬客戶提出的集體訴訟的初步和解已送出曼哈頓聯邦法院,該和解需要美國地區法官安娜莉莎·托雷斯(Analisa Torres)的準許。客戶将獲得至少兩年的欺詐賠償金,其中每人可申請報帳高達10000美元的現金損失。根據和解檔案,摩根士丹利否認同意和解有不當行為,并對其資料安全做法進行了“實質性”更新。客戶指控摩根士丹利在2016年未能淘汰兩個财富管理資料中心,而此後未加密的裝置(仍包含客戶資料)被轉售給了未經授權的第三方。他們還表示,在摩根士丹利于2019年将一些包含客戶資料的舊伺服器轉讓給外部供應商後,這些伺服器失蹤了。此外,法庭檔案顯示,摩根士丹利後來恢複了伺服器。2016年和2019年事件中暴露的資料包括客戶姓名,位址,帳戶資訊,社會安全号碼,出生日期,信用卡号和其他PII
摩根士丹利沒有在營業時間以外立即回應評論的請求。2020年10月,摩根士丹利同意支付6000萬美元的民事罰款,以解決美國通貨監理局(OCC)對該事件的指控,包括其資訊安全行動不安全或不健全。目前本案正在紐約南區的地方法院就摩根士丹利的資料安全問題進行訴訟。
在2020年送出的法庭檔案中,OCC指出摩根士丹利未能向停用IT裝置的第三方供應商提供适當的監督,并且沒有執行适當的盡職調查,進而為客戶帶來了資料暴露風險。摩根士丹利可能會支付超過1.2億美元的罰款。網絡安全公司Casaba Security的首席科學家約翰·米切納(John Michener)表示,由于該銀行無法遵守健全的監管程式,它已經付出了代價:潛在的罰款超過1億美元。TrustedSec公司咨詢解決方案總監亞曆克斯·哈默斯通(Alex Hamerstone)表示,如果金融機構選擇不遵循"基本資訊安全實踐",訴訟的結果将引起金融機構的注意,最終,他們将被追究責任。
"訴訟也是一個很好的提醒,提醒企業審計自己的流程,無論是使用内部還是外部審計資源,以確定‘基本資訊安全實踐’被遵循。"Hamerstone說。
Chris Pierson是國土安全部網絡安全小組委員會和隐私委員會的前特别政府雇員,現任BlackCloak首席執行官,他還建議金融機構每年審計内部實踐,并采取以下步驟:
1、加密靜态資料,以避免這些暴露風險;
2、注意實物資産,不嚴格将資料存儲在雲端;
3、確定流程,避免潛在資料洩露。
Casaba Security的Michener表示,企業停用包含敏感資訊的裝置和硬體的标準做法是将其粉碎或銷毀。擦除硬碟驅動器和伺服器已經不夠了,企業需要更新其實踐和政策來應對新的攻擊。
Hi,我是超級科技
超級科技是資訊安全專家,能無上限防禦DDos攻擊和CC攻擊,阿裡雲戰略合作夥伴!