Miljoenenboete voor Morgan Stanley wegens uitlekken van klantgegevens

De Amerikaanse bank Morgan Stanley krijgt een boete van 35 miljoen dollar opgelegd door de Amerikaanse beurstoezichthouder Security and Exchange Commission (SEC). Aanleiding hiervoor is een datalek. Op tweede harde schijven die op een veilingwebsites zijn aangeboden waren gegevens van 15 miljoen klanten van de bank opgeslagen.

De SEC stelt dat Morgan Stanley gedurende een periode van vijf jaar gegevens van klanten onvoldoende heeft beveiligd. Het bedrijf zou in diverse gevallen een verhuis- en opslagbedrijf zonder ervaring met datavernietiging hebben ingeschakeld voor het uitfaseren van duizenden harde schijven en servers waarop persoonlijke gegevens van miljoenen klanten stonden opgeslagen. Ook zou Morgan Stanley hebben verzuimd adequaat toezicht te houden op de activiteiten van deze partner.

Doorverkocht via veiling

Uit onderzoek blijkt dat het verhuisbedrijf de harde schijven en servers aan een derde partij heeft doorverkocht. In sommige gevallen bevatten de hardware op dat moment nog persoonsgegevens van klanten. De hardware is uiteindelijk doorverkocht via een veilingwebsite, zonder dat de persoonsgegevens zijn verwijderd. Een deel van de apparaten is door Morgan Stanley teruggehaald, maar bij het merendeel van de hardware zou dat niet zijn gelukt.

Opvallend is ook dat de harde schijven in kwestie de mogelijkheid boden tot het versleutelen van data, maar encryptiesoftware door Morgen Stanley niet zou zijn ingeschakeld. Data van klanten was hierdoor onversleuteld opgeslagen en vrij toegankelijk voor wie de harde schijven of servers in handen kreeg.

Meer informatie is hier beschikbaar.