拍卖二手硬盘也出事?Morgan Stanley 20日同意支付证交会3,500万美元罚款,因他们违反了资讯安全规定,泄露上千万客户资料,证交会认为是“傻眼的错误”。
纽约金融服务巨头之一Morgan Stanley(大摩),为了一件多年前的蠢事付出严重代价,高达3,500万美元,甚至美国证券交易委员会称这是“令人傻眼的失败”。
整件事要从2016年说起,大摩当时雇佣某搬家公司,协助清运退役数据中心的老旧硬盘,共53颗磁盘数组,总计约1千颗硬盘,此外还有8千张备份胶卷。或许出于成本考量,大摩雇佣的这家公司并不具任何资讯安全基础知识,但承诺有一外包资讯专家,负责清除硬盘资料后销毁。
汰换旧数据中心的计划结束约一年后,大摩资讯安全办公室收到一封email,来自奥克拉荷马州安全顾问公司,信件说在网络买了一颗二手硬盘,里面却装满大摩的客户资料:
你们身为主要金融机构,理应遵循所有相关程序,最起码也应从承承包商取得硬盘销毁证明。
大摩立刻购回这颗硬盘,并追究原因。原来这家搬家公司并未雇佣资讯人员清除硬盘,而是将所有硬盘转卖给另一家公司,那家公司随后就将整批硬盘放上拍卖网站出售。这些硬盘别说是销毁,就连最基本的格式化或清除资料都没做,所有客户资讯都完整保留了。
“尽管这些硬盘都有加密功能,但Morgan Stanley并未激活”,证交会声明表示,大摩虽然2018年开始激活硬盘资料加密功能,但仅限新写入资料,之前数据都未加密。
这一连串安全漏洞下,证交会认为至少超过1,500万笔大摩客户资料遭外泄,因此开罚3,500万美元,并要求大摩立即改善。
讽刺的是Morgan Stanley未承认也不否认指控,只同意支付巨额罚款,并声明:“我们非常乐意解决多年前的问题,也并未发现任何未经授权的渠道,能接触或滥用客户资讯。”
(首图来源:Unsplash)