賣二手硬碟也出事？Morgan Stanley 遭罰 3,500 萬美元

拍賣二手硬碟也出事？Morgan Stanley 20 日同意支付證交會 3,500 萬美元罰款，因他們違反了資訊安全規定，洩漏上千萬客戶資料，證交會認為是「傻眼的錯誤」。

紐約金融服務巨頭之一 Morgan Stanley（大摩），為了一件多年前的蠢事付出嚴重代價，高達 3,500 萬美元（約新台幣 10 億元），甚至美國證券交易委員會稱這是「令人傻眼的失敗」。

整件事要從 2016 年說起，大摩當時僱用某搬家公司，協助清運退役資料中心的老舊硬碟，共 53 顆磁碟陣列，總計約 1 千顆硬碟，此外還有 8 千張備份膠卷。或許出於成本考量，大摩僱用的這家公司並不具任何資訊安全基礎知識，但承諾有一外包資訊專家，負責清除硬碟資料後銷毀。

汰換舊資料中心的計畫結束約一年後，大摩資訊安全辦公室收到一封 email，來自奧克拉荷馬州資安顧問公司，信件說在網路買了一顆二手硬碟，裡面卻裝滿大摩的客戶資料：

你們身為主要金融機構，理應遵循所有相關程序，最起碼也應從承包商取得硬碟銷毀證明。

大摩立刻購回這顆硬碟，並追究原因。原來這家搬家公司並未僱用資訊人員清除硬碟，而是將所有硬碟轉賣給另一家公司，那家公司隨後就將整批硬碟放上拍賣網站出售。這些硬碟別說是銷毀，就連最基本的格式化或清除資料都沒做，所有客戶資訊都完整保留了。

「儘管這些硬碟都有加密功能，但 Morgan Stanley 並未啓用」，證交會聲明表示，大摩雖然 2018 年開始啓用硬碟資料加密功能，但僅限新寫入資料，之前數據都未加密。

這一連串資安漏洞下，證交會認為至少超過 1,500 萬筆大摩客戶資料遭外洩，因此開罰 3,500 萬美元，並要求大摩立即改善。

諷刺的是 Morgan Stanley 未承認也不否認指控，只同意支付鉅額罰款，並聲明：「我們非常樂意解決多年前的問題，也並未發現任何未經授權的管道，能接觸或濫用客戶資訊。」

• $35M fine for Morgan Stanley after unencrypted, unwiped hard drives are auctioned

（首圖來源：Unsplash）