华尔街银行摩根士丹利已同意支付 6000 万美元,以解决客户提起的诉讼,这些客户称该公司糟糕的安全措施使他们的个人数据处于危险之中。
2021年12月31日,代表约1500万客户提出的集体诉讼的初步和解已提交曼哈顿联邦法院,该和解需要美国地区法官安娜莉莎·托雷斯(Analisa Torres)的批准。客户将获得至少两年的欺诈赔偿金,其中每人可申请报销高达10000美元的现金损失。根据和解文件,摩根士丹利否认同意和解有不当行为,并对其数据安全做法进行了“实质性”升级。客户指控摩根士丹利在2016年未能淘汰两个财富管理数据中心,而此后未加密的设备(仍包含客户数据)被转售给了未经授权的第三方。他们还表示,在摩根士丹利于2019年将一些包含客户数据的旧服务器转让给外部供应商后,这些服务器失踪了。此外,法庭文件显示,摩根士丹利后来恢复了服务器。2016年和2019年事件中暴露的数据包括客户姓名,地址,帐户信息,社会安全号码,出生日期,信用卡号和其他PII
摩根士丹利没有在营业时间以外立即回应评论的请求。2020年10月,摩根士丹利同意支付6000万美元的民事罚款,以解决美国通货监理局(OCC)对该事件的指控,包括其信息安全行动不安全或不健全。目前本案正在纽约南区的地方法院就摩根士丹利的数据安全问题进行诉讼。
在2020年提交的法庭文件中,OCC指出摩根士丹利未能向停用IT设备的第三方供应商提供适当的监督,并且没有执行适当的尽职调查,从而为客户带来了数据暴露风险。摩根士丹利可能会支付超过1.2亿美元的罚款。网络安全公司Casaba Security的首席科学家约翰·米切纳(John Michener)表示,由于该银行无法遵守健全的监管程序,它已经付出了代价:潜在的罚款超过1亿美元。TrustedSec公司咨询解决方案总监亚历克斯·哈默斯通(Alex Hamerstone)表示,如果金融机构选择不遵循"基本信息安全实践",诉讼的结果将引起金融机构的注意,最终,他们将被追究责任。
"诉讼也是一个很好的提醒,提醒企业审计自己的流程,无论是使用内部还是外部审计资源,以确保‘基本信息安全实践’被遵循。"Hamerstone说。
Chris Pierson是国土安全部网络安全小组委员会和隐私委员会的前特别政府雇员,现任BlackCloak首席执行官,他还建议金融机构每年审计内部实践,并采取以下步骤:
1、加密静态数据,以避免这些暴露风险;
2、注意实物资产,不严格将数据存储在云端;
3、确保流程,避免潜在数据泄露。
Casaba Security的Michener表示,企业停用包含敏感信息的设备和硬件的标准做法是将其粉碎或销毁。擦除硬盘驱动器和服务器已经不够了,企业需要更新其实践和政策来应对新的攻击。
Hi,我是超级科技
超级科技是信息安全专家,能无上限防御DDos攻击和CC攻击,阿里云战略合作伙伴!