فراتر از بی توجهی به صفر نکردن درایوها و عدم توجه به کارهایی که پیمانکاران آن با آنها انجام می دادند، بیشتر داده های مشتری رمزگذاری نشده بودند، حتی اگر بسیاری از HDD ها از رمزگذاری داخلی پشتیبانی می کردند. مورگان استنلی تنها در سال 2018 شروع به استفاده از رمزگذاری کرد و فقط برای فایلهای جدید – دادههای قدیمی هنوز محافظت نشده بودند. SEC ادعا می کند که حتی پس از سال 2018، برخی از اطلاعات به دلیل نقص امنیتی در مجموعه حفاظت از داده های خود، همچنان رمزگذاری نشده بودند.
شرکت مدیریت ثروت متعاقباً تمام HDD هایی را که مشاور در اختیار داشت، پس گرفت.
در سال 2017، تقریباً یک سال پس از شروع پروژه از کار انداختن، یک متخصص فناوری اطلاعات از اوکلاهاما به مورگان استنلی ایمیل زد و به آن اطلاع داد که دیسکهای سختی حاوی اطلاعات مشتریان این شرکت دارد.
مورگان استنلی پذیرفت که جریمه را بدون اعتراف به گناه یا اشتباه بپردازد. استاندارد کسب و کار اشاره می کند که یک سخنگوی گفت هیچ نشانه ای مبنی بر اینکه مشتریان تحت تاثیر قرار گرفته اند وجود ندارد.
شرکت حمل و نقل در ابتدا با یک شرکت فناوری اطلاعات قرارداد فرعی برای پاک کردن درایوها بست. با این حال، دو شرکت با هم اختلاف پیدا کردند و جابجایی شروع به فروش دستگاه های ذخیره سازی به لباس دیگری کرد که چرخید و آنها را بدون پاک کردن به حراج آنلاین گذاشت.
کف دست: روز چهارشنبه، مورگان استنلی شکایت کمیسیون بورس و اوراق بهادار (SEC) را به دلیل نقص های امنیتی “حیرت انگیز” که بین سال های 2016 تا 2021 رخ داده بود، حل و فصل کرد. این غول مالی موافقت کرد به دلیل دفع نادرست هارد دیسک های یکی از خود جریمه ای 35 میلیون دلاری بپردازد. مراکز داده از کار افتاده
Gurbir S. Grewal، مدیر بخش اجرای SEC، گفت: “شکستهای MSSB در این مورد شگفتانگیز است. مشتریان اطلاعات شخصی خود را با درک و انتظار محافظت از آن به متخصصان مالی میسپارند، و MSSB در انجام این کار بسیار کوتاهی کرد.” “اگر به درستی محافظت نشود، این اطلاعات حساس می تواند در دستان اشتباه قرار گیرد و عواقب فاجعه باری برای سرمایه گذاران داشته باشد.”
مشاور فناوری اطلاعات نوشت: «شما یک مؤسسه مالی بزرگ هستید و باید دستورالعملهای بسیار دقیقی را در مورد نحوه برخورد با سختافزار بازنشسته دنبال کنید». “یا حداقل، دریافت نوعی تایید از تخریب داده ها از فروشندگانی که تجهیزات را به آنها می فروشید.”
بر اساس گزارش SEC، مورگان استنلی دو مرکز داده را در سال 2016 از کار انداخت که منجر به مجموعه ای از نقص های امنیتی ناشی از سهل انگاری این شرکت شد.
“شما یک موسسه مالی بزرگ هستید و باید از برخی دستورالعمل های بسیار دقیق در مورد نحوه برخورد با سخت افزار بازنشسته پیروی کنید.”
طبق شکایت SEC، مورگان استنلی تقریباً 1000 هارد دیسک رمزگذاری نشده را که محتویات آنها پاک نشده بود به حراج گذاشت. همچنین ادعا میکند که این شرکت هزاران هارد دیسک و رسانههای مغناطیسی پشتیبان را بهطور نادرست دور انداخته و اطلاعات بیش از 15 میلیون مشتری مورگان استنلی را فاش کرده است. مقامات این نارسایی های امنیتی را “حیرت انگیز” خواندند.
سخنگوی وزارت امور خارجه گفت: ما قبلاً به مشتریان مربوطه در مورد این موارد که چندین سال پیش رخ داده است اطلاع داده ایم و هیچ گونه دسترسی غیرمجاز یا سوء استفاده از اطلاعات شخصی مشتری را شناسایی نکرده ایم.
برای شروع، این شرکت به جای از بین بردن هارد دیسک ها یا اینکه یک تیم فناوری اطلاعات داخلی آنها را صفر کند، با یک شرکت جابجایی شخص ثالث برای مراقبت از سخت افزار قرارداد بست. متحرک 53 آرایه RAID متشکل از حدود 1000 هارد دیسک و حدود 8000 نوار پشتیبان را در اختیار گرفت. ظاهراً این شرکت که نامش فاش نشده است، هیچ تجربه ای در از کار انداختن رسانه های ذخیره سازی نداشته است.