拍賣二手硬碟也出事?Morgan Stanley 20 日同意支付證交會 3,500 萬美元罰款,因他們違反了資訊安全規定,洩漏上千萬客戶資料,證交會認為是「傻眼的錯誤」。
紐約金融服務巨頭之一 Morgan Stanley(大摩),為了一件多年前的蠢事付出嚴重代價,高達 3,500 萬美元(約新台幣 10 億元),甚至美國證券交易委員會稱這是「令人傻眼的失敗」。
整件事要從 2016 年說起,大摩當時僱用某搬家公司,協助清運退役資料中心的老舊硬碟,共 53 顆磁碟陣列,總計約 1 千顆硬碟,此外還有 8 千張備份膠卷。或許出於成本考量,大摩僱用的這家公司並不具任何資訊安全基礎知識,但承諾有一外包資訊專家,負責清除硬碟資料後銷毀。
汰換舊資料中心的計畫結束約一年後,大摩資訊安全辦公室收到一封 email,來自奧克拉荷馬州資安顧問公司,信件說在網路買了一顆二手硬碟,裡面卻裝滿大摩的客戶資料:
你們身為主要金融機構,理應遵循所有相關程序,最起碼也應從承包商取得硬碟銷毀證明。
大摩立刻購回這顆硬碟,並追究原因。原來這家搬家公司並未僱用資訊人員清除硬碟,而是將所有硬碟轉賣給另一家公司,那家公司隨後就將整批硬碟放上拍賣網站出售。這些硬碟別說是銷毀,就連最基本的格式化或清除資料都沒做,所有客戶資訊都完整保留了。
「儘管這些硬碟都有加密功能,但 Morgan Stanley 並未啓用」,證交會聲明表示,大摩雖然 2018 年開始啓用硬碟資料加密功能,但僅限新寫入資料,之前數據都未加密。
這一連串資安漏洞下,證交會認為至少超過 1,500 萬筆大摩客戶資料遭外洩,因此開罰 3,500 萬美元,並要求大摩立即改善。
諷刺的是 Morgan Stanley 未承認也不否認指控,只同意支付鉅額罰款,並聲明:「我們非常樂意解決多年前的問題,也並未發現任何未經授權的管道,能接觸或濫用客戶資訊。」
(首圖來源:Unsplash)