Morgan Stanley paiera 35 millions de dollars après la vente aux enchères de disques durs contenant les données personnelles de 15 millions de clients

La Securities and Exchange Commission des États-Unis a accepté de régler les accusations portées contre Morgan Stanley Smith Barney (MSSB) pour son échec «étonnant» à protéger les informations d’identification personnelle de quelque 15 millions de clients.

MSSB, maintenant connue sous le nom de Morgan Stanley Wealth Management, est la division de gestion de patrimoine et d’actifs du géant bancaire Morgan Stanley, qui a accepté cette semaine de payer 35 millions de dollars pour régler les allégations selon lesquelles il n’aurait pas correctement éliminé les disques durs et les serveurs contenant les données personnelles de ses clients. données sur une période de cinq ans remontant jusqu’en 2015.

Morgan Stanley a embauché une entreprise de déménagement et de stockage sans “expérience ni expertise dans les services de destruction de données”, selon la SEC, et n’a pas correctement surveillé le travail de l’entreprise de déménagement. Certains des disques durs ont ensuite été retrouvés sur un site d’enchères sur Internet avec les données personnelles des clients toujours stockées.

“Alors que MSSB a récupéré certains des appareils, dont il a été démontré qu’ils contenaient des milliers de données client non cryptées, l’entreprise n’a pas récupéré la grande majorité des appareils”, a déclaré la SEC. dit dans un communiqué.

La SEC a également allégué que Morgan Stanley avait perdu la trace de 42 serveurs qui contenaient potentiellement des données client non cryptées lorsqu’elle a mis hors service les serveurs des bureaux locaux et des succursales dans le cadre d’un programme de rafraîchissement du matériel. Le régulateur a ajouté qu’au cours de ce processus, MSSB a appris que les appareils locaux mis hors service avaient été équipés d’une capacité de cryptage, mais n’avaient pas activé le logiciel de cryptage.

« Les échecs de la MSSB dans ce cas sont étonnants. Les clients confient leurs informations personnelles à des professionnels de la finance avec la compréhension et l’attente qu’elles seront protégées, et MSSB n’a malheureusement pas réussi à le faire », a déclaré Gurbir S. Grewal, directeur de la division de l’application de la SEC. « Si elles ne sont pas correctement protégées, ces informations sensibles peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs. L’action d’aujourd’hui envoie un message clair aux institutions financières qu’elles doivent prendre au sérieux leur obligation de protéger ces données.

Dans une déclaration donnée à TechCrunch, Morgan Stanley n’a ni admis ni nié les conclusions, mais s’est dit “heureux de résoudre cette affaire”.

“Nous avons déjà informé les clients concernés de ces problèmes, qui se sont produits il y a plusieurs années, et n’avons détecté aucun accès non autorisé ou utilisation abusive des informations personnelles des clients”, a déclaré Susan Siering, porte-parole de Morgan Stanley.

La nouvelle de l’amende de la SEC survient après que Morgan Stanley a été victime d’une violation de données l’année dernière à la suite du piratage d’Accellion. La banque d’investissement — pas étranger aux violations de données – a admis que les attaquants ont volé les informations personnelles de ses clients en piratant un serveur Accellion, qu’il utilise pour le partage et les transferts de fichiers. d’un fournisseur tiers.

Leave a Comment

Your email address will not be published.