本周三,摩根士丹利(Morgan Stanley)同意支付 3500 万美元的罚款,以解决美国证券交易委员会 (SEC) 对其发生在 2016 至 2021 年的“惊人”安全事故的指控。这款金融巨头在当时并未妥善处置从数据中心退役的硬盘,在未确定用户信息删除的情况下就进行公开拍卖。
根据 SEC 的指控,摩根士丹利共计拍卖了大约 1000 块未加密的硬盘,这些硬盘内均含有客户的一些资料。SEC 还指控该公司不当处置了数千个硬盘驱动器和备份磁介质,暴露了超过 1500 万摩根士丹利客户的数据。官员们称安全故障“令人震惊”。
SEC 执法部门主管古尔比尔·S.格鲁瓦尔(Gurbir S. Grewal)表示:“在这起案件中,MSSB 的错误令人震惊。客户将他们的个人信息委托给金融专业人士,理解并期望这些信息会受到保护,而 MSSB 在这方面做得很糟糕。如果得不到妥善保护,这些敏感信息最终可能落入坏人之手,并对投资者造成灾难性后果”。
据美国证券交易委员会称,摩根士丹利在 2016 年关闭了两个数据中心,该公司的疏忽导致一连串的安全漏洞。SEC 表示“作为一家大型金融机构,应该遵循一些非常严格的准则来处理退役硬件”。
首先,摩根士丹利没有破坏硬盘驱动器或让内部 IT 团队执行清零操作,而是与第三方搬家公司签订合同来处理硬件。搬家公司获取了 53 个 RAID 阵列,包括大约 1,000 个 HDD 和大约 8,000 个备份磁带。据称,这家未具名的公司在退役存储介质方面没有经验。
搬家公司最初分包了一家 IT 公司来擦拭驱动器。然而,两家公司发生了争吵,搬家公司开始将存储设备出售给另一家公司,后者转而在网上拍卖它们,但没有删除它们。
2017 年,在退役项目开始将近一年后,来自俄克拉荷马州的一名 IT 专业人士给摩根士丹利发了电子邮件,告