摩根士丹利因泄露客户信息被罚款 650 万美元

摩根士丹利 (Morgan Stanley) 已同意就不安全处置包含未加密个人信息的硬件问题达成 650 万美元的和解协议。

佛罗里达州总检察长办公室表示，由于内部数据安全措施的疏忽，这家跨国投资银行和金融服务公司可能会泄露数百万客户的个人信息。

对该公司的调查发现，它没有正确删除存储在即将退役的设备上的未加密的个人信息。

具体来说，在寻求停用包含敏感消费者信息的数千个硬盘时，摩根士丹利聘请了“一家在数据销毁服务方面没有经验的搬家公司”，但未能监控其行为。

总检察长称，搬家公司在摩根士丹利不知情的情况下通过互联网拍卖出售了计算机设备。最终，下游采购商找到了这些数据，并联系了摩根士丹利。

在另一次退役过程中，这家金融服务公司发现 42 台丢失的服务器可能包含未加密的客户信息。调查发现，该问题是由于“加密软件中的制造商缺陷”造成的。

调查还发现，这家金融服务公司未能实施适当的供应商控制和资产库存，而这本来可以防止数据泄露。

作为协议的一部分，除了向佛罗里达州、康涅狄格州、印第安纳州、新泽西州、纽约州和佛蒙特州支付 650 万美元外，摩根士丹利还被要求提高个人信息的安全性。

该公司被要求对静态和传输中的数据进行加密，实施数据收集、使用、保留和处置政策，实施跟踪包含个人信息的硬件的工具，并维护信息安全计划、事件响应计划和安全计划。供应商风险评估团队。

数据泄露带来的困扰是世界性难题，我们常常用“亡羊补牢”去类别数据泄露或网络攻击，但是数据这头羊不同的地方就是，你无法通过数羊的方式发现数据泄露。数据损坏，我们无法使用，比较直观。而数据泄露，则只有等到盗窃数据的人散步出来，我们才知道数据泄露。这也就是，很多单位的领导被虚假安全感迷惑的原因，总认为自己的网络安全的无懈可击，殊不知是自己的幼稚到了无懈可击。

原文始发于微信公众号（河南等级保护测评）：摩根士丹利因泄露客户信息被罚款 650 万美元