Facepalm: Na quarta-feira, o Morgan Stanley resolveu uma reclamação da Securities and Exchange Commission (SEC) sobre falhas de segurança “surpreendentes” ocorridas entre 2016 e 2021. O gigante financeiro concordou pagar uma multa de US$ 35 milhões pelo descarte indevido de discos rígidos de um de seus data centers desativados.
De acordo com a reclamação da SEC, o Morgan Stanley leiloou cerca de 1.000 HDDs não criptografados que não tiveram seu conteúdo apagado. Também alega que a empresa descartou indevidamente milhares de discos rígidos e mídia magnética de backup, expondo os dados de mais de 15 milhões de clientes do Morgan Stanley. Os funcionários chamaram as falhas de segurança de “surpreendentes”.
“As falhas da MSSB neste caso são surpreendentes. Os clientes confiam suas informações pessoais a profissionais financeiros com o entendimento e a expectativa de que serão protegido, e o MSSB ficou lamentavelmente aquém de fazê-lo”, disse Gurbir S. Grewal, diretor da Divisão de Execução da SEC. “Se não forem devidamente protegidas, essas informações confidenciais podem acabar nas mãos erradas e ter consequências desastrosas para os investidores.” em 2016, resultando em uma cascata de falhas de segurança causadas por negligência da empresa.
“Você é uma grande instituição financeira e deve seguir algumas diretrizes muito rigorosas sobre como lidar com hardware aposentado.”
Para começar, em vez de destruir os discos rígidos ou ter uma equipe interna de TI zerando-os, a empresa contratou uma empresa de mudanças terceirizada para levar cuidado com o hardware. A empresa de mudança tomou posse de 53 matrizes RAID compostas por cerca de 1.000 HDDs e cerca de 8.000 fitas de backup. A empresa não identificada supostamente não tinha experiência em desativação de mídia de armazenamento.
A empresa de mudança inicialmente subcontratou uma empresa de TI para limpar as unidades. No entanto, as duas empresas tiveram um desentendimento e a empresa começou a vender os dispositivos de armazenamento para outra empresa que os leiloou on-line sem apagá-los.
Em 2017, quase um ano após o início do projeto de desativação, um profissional de TI de Oklahoma enviou um e-mail ao Morgan Stanley e informou que ele tinha discos rígidos contendo os dados dos clientes da empresa.
“Você é um importante instituição financeira e deve seguir algumas diretrizes muito rigorosas sobre como lidar com a desativação de hardware”, escreveu o consultor de TI. “Ou, no mínimo, obter algum tipo de verificação de destruição de dados dos fornecedores para os quais você vende equipamentos.”
Limpar um HDD não é difícil, mas zerar 1.000 pode ser uma dor.
A empresa de gestão de patrimônio posteriormente comprou de volta todos os HDDs que o consultor tinha em sua posse.
Além da negligência de não zerar as unidades e não manter o controle sobre o que seus contratados estavam fazendo com eles, a maioria dos dados do cliente não estava criptografada, embora muitos dos HDDs tivessem suporte de criptografia integrado. O Morgan Stanley só começou a usar criptografia em 2018 e apenas para novos arquivos – os dados antigos ainda estavam desprotegidos. A SEC alega que, mesmo depois de 2018, algumas informações ainda não estavam criptografadas devido a uma falha de segurança em seu conjunto de proteção de dados.
Morgan Stanley concordou em pagar a multa sem admitir culpa ou transgressão. O Business Standard observa que um porta-voz disse que não há indicação de que nenhum cliente tenha sido afetado.
“Nós já notificamos os clientes aplicáveis sobre esses assuntos, que ocorreram há vários anos, e não detectamos nenhum acesso não autorizado ou uso indevido de informações pessoais do cliente”, disse o porta-voz.
