Morgan Stanley é processada em US$5 milhões por vazamento de dados

Procedimentos inadequados para o descarte de equipamentos antigos levados à violação, alegações de processos judiciais

Uma ação judicial de US $ 5 milhões buscando o status de ação coletiva foi movida contra o Morgan Stanley, alegando que a organização financeira falhou em proteger adequadamente as informações de identificação pessoal quando a empresa descartou equipamentos de informática antigos.

O processo está sendo movido pelo cliente do Morgan Stanley, Timothy Smith, no Tribunal Distrital dos EUA para o Distrito Sul de Nova York em nome de cerca de 100 outros clientes afetados pelo vazamento dos dados. O caso está vinculado a incidentes em 2016 e 2019, quando a empresa descomissionou vários equipamentos de informática sem limpar adequadamente os dados pessoais.

O Morgan Stanley confirmou esses incidentes em cartas de notificação de vazamento de dados enviadas ao procurador-geral da Califórnia e procuradores-gerais de outros estados. A carta observa que os dados expostos podem ter incluído nomes e números de contas (no Morgan Stanley e quaisquer contas bancárias vinculadas), número do Seguro Social, número do passaporte, informações de contato, data de nascimento, valor dos ativos e dados de participações. Ela afirma que ofereceu às vítimas dois anos de serviços de monitoramento de crédito pré-pago.

Como os vazamentos ocorreram

“Em 2016, o Morgan Stanley fechou dois data centers e descomissionou o equipamento de informática em ambos os locais. Como de costume, contratamos um fornecedor para remover os dados dos dispositivos”, observa a carta. “Posteriormente, descobrimos que certos dispositivos que se acreditava terem sido apagados de todas as informações ainda continham alguns dados não criptografados.”

Em um segundo incidente em 2019, a empresa desconectou e substituiu um servidor de computador em uma filial local que continha informações em discos criptografados. “Durante um inventário recente, não conseguimos localizar esse dispositivo e uma falha de software neste servidor pode ter permitido que alguns dados fossem expostos”, relatou Morgan Stanley.

O processo afirma que, se os criminosos obtiveram acesso aos dispositivos envolvidos, eles poderiam usar os dados do cliente que eles continham para roubar identidades ou vendê-los a outros criminosos ou para fazer compras fraudulentas.

Mas um porta-voz do Morgan Stanley disse ao Information Security Media Group: “Monitoramos continuamente a situação e não detectamos qualquer atividade não autorizada relacionada ao assunto, nem acesso ou uso indevido de informações pessoais de clientes.”

Negligência Alegada

O processo alega: “Este PII foi comprometido devido a atos e omissões negligentes e / ou descuidados do Morgan Stanley e a falha em proteger os dados dos clientes. Além da falha do Morgan Stanley em evitar os vazamentos de dados, o réu não conseguiu detectar durante anos que os dados foram vazados, e quando descobriram, levaram mais de um ano, possivelmente mais, para denunciá-la aos indivíduos afetados e aos procuradores-gerais dos estados. “

O processo também alega que o Morgan Stanley:

  • Não usou procedimentos de segurança razoáveis ​​e práticas apropriadas à natureza das informações confidenciais e não criptografadas do cliente que estava mantendo;
  • Poderia ter evitado o vazamento de dados criptografando-os;
  • Falha ao aprender com um incidente anterior semelhante.

Fonte: https://www.govinfosecurity.com/morgan-stanley-hit-5-million-data-breach-suit-a-14927