Án phạt đó đã được ngân hàng đầu tư nổi tiếng nước Mỹ, Morgan Stanley chấp nhận nộp cho Ủy ban Chứng khoán và Giao dịch Hoa Kỳ. Sau cuộc điều tra của SEC, Morgan Stanley bị phát hiện bán thanh lý những ổ cứng không mã hóa dữ liệu sau khi ngừng hoạt động những hệ thống data center cũ, nhưng hoàn toàn không có bước xóa sạch dữ liệu lưu trữ trong những ổ cứng ấy.
Không chỉ một vài, mà Morgan Stanley đã bán hàng nghìn ổ cứng lưu trữ dữ liệu của các khách hàng, rút ra từ những data center đã ngừng sử dụng của ngân hàng đầu tư này. Theo kết quả điều tra của SEC, 15 triệu khách hàng có thể đã bị lộ thông tin cá nhân vì sự bất cẩn trong nhiều năm trời của Morgan Stanley. Hệ quả là, án phạt 35 triệu USD do SEC áp cho ngân hàng này vì lý do “thất bại trong việc bảo mật dữ liệu khách hàng trong vòng 5 năm trời, theo quy định liên bang.”
Rắc rối xảy đến từ năm 2016, khi Morgan Stanley thuê một đơn vị chuyển hàng không có kinh nghiệm cũng như khả năng xử lý dữ liệu cá nhân, nhưng vẫn để họ tháo dỡ hàng nghìn ổ cứng và máy chủ lưu trữ dữ liệu hàng triệu khách hàng. Cụ thể hơn, đơn vị nói trên đã tiến hành dỡ bỏ 53 RAID array với khoảng 1 nghìn ổ cứng, đi kèm với đó là 8.000 cuộn băng từ backup dữ liệu ở các trung tâm dữ liệu phục vụ cho quá trình kinh doanh của Morgan Stanley.
Công ty nói trên sau đó lại ký hợp đồng với một đơn vị chuyên trong ngành IT để hủy hoàn toàn dữ liệu nhạy cảm có trong lượng thiết bị lưu trữ khổng lồ nói trên. Nhưng rồi đơn vị chuyển hàng này bắt đầu tự xử lý ổ cứng và băng từ, bán cho một công ty khác để đấu giá đồ cũ. Có lẽ vì muốn kiếm lời nên Morgan Stanley hoàn toàn không được công ty dỡ hàng nọ cung cấp thông tin về đơn vị bán ổ cứng ở những cuộc đấu giá số lượng lớn.
Sự việc vỡ lở vào năm 2017, khi một chuyên viên IT mua ổ cứng trong một cuộc đấu giá, đem về cắm vào máy tính và phát hiện ra vẫn còn nguyên dữ liệu hệ thống của Morgan Stanley.
Phía SEC còn khẳng định, nhiều thiết bị lưu trữ được bán thanh lý hoàn toàn không được bật chế độ mã hóa dữ liệu. Mãi đến năm 2018 ngân hàng đầu tư của Mỹ mới tiến hành mã hóa dữ liệu khách hàng, còn trước đó mọi dữ liệu cứ mở ra là thấy hết, không cần mật khẩu.
Đọc thông tin sự việc này, khá chắc Morgan Stanley sẽ bước vào một cuộc kiện tụng với đơn vị chuyên trách việc tháo dỡ data center của họ. Tuyên bố chính thức của ngân hàng này cũng khá chung chung: “Chúng tôi vui mừng vì giải quyết được vấn đề. Chúng tôi đã thông báo với những khách hàng có khả năng bị ảnh hưởng bởi vụ việc đã xảy ra nhiều năm về trước, và chúng tôi không phát hiện ra bất kỳ hành vi đăng nhập trái phép hoặc sử dụng sai mục đích dữ liệu của khách hàng.” Nhiều chuyên gia cho rằng, án phạt là quá nhẹ, và ngay cả khi sự cố đã xảy ra nhiều năm trước, vẫn có những khách hàng đầu tư dài hạn thông qua Morgan Stanley sẽ bị ảnh hưởng nghiêm trọng từ nay về sau.
Theo ArsTechnica
Không chỉ một vài, mà Morgan Stanley đã bán hàng nghìn ổ cứng lưu trữ dữ liệu của các khách hàng, rút ra từ những data center đã ngừng sử dụng của ngân hàng đầu tư này. Theo kết quả điều tra của SEC, 15 triệu khách hàng có thể đã bị lộ thông tin cá nhân vì sự bất cẩn trong nhiều năm trời của Morgan Stanley. Hệ quả là, án phạt 35 triệu USD do SEC áp cho ngân hàng này vì lý do “thất bại trong việc bảo mật dữ liệu khách hàng trong vòng 5 năm trời, theo quy định liên bang.”
Rắc rối xảy đến từ năm 2016, khi Morgan Stanley thuê một đơn vị chuyển hàng không có kinh nghiệm cũng như khả năng xử lý dữ liệu cá nhân, nhưng vẫn để họ tháo dỡ hàng nghìn ổ cứng và máy chủ lưu trữ dữ liệu hàng triệu khách hàng. Cụ thể hơn, đơn vị nói trên đã tiến hành dỡ bỏ 53 RAID array với khoảng 1 nghìn ổ cứng, đi kèm với đó là 8.000 cuộn băng từ backup dữ liệu ở các trung tâm dữ liệu phục vụ cho quá trình kinh doanh của Morgan Stanley.
Công ty nói trên sau đó lại ký hợp đồng với một đơn vị chuyên trong ngành IT để hủy hoàn toàn dữ liệu nhạy cảm có trong lượng thiết bị lưu trữ khổng lồ nói trên. Nhưng rồi đơn vị chuyển hàng này bắt đầu tự xử lý ổ cứng và băng từ, bán cho một công ty khác để đấu giá đồ cũ. Có lẽ vì muốn kiếm lời nên Morgan Stanley hoàn toàn không được công ty dỡ hàng nọ cung cấp thông tin về đơn vị bán ổ cứng ở những cuộc đấu giá số lượng lớn.
Sự việc vỡ lở vào năm 2017, khi một chuyên viên IT mua ổ cứng trong một cuộc đấu giá, đem về cắm vào máy tính và phát hiện ra vẫn còn nguyên dữ liệu hệ thống của Morgan Stanley.
Phía SEC còn khẳng định, nhiều thiết bị lưu trữ được bán thanh lý hoàn toàn không được bật chế độ mã hóa dữ liệu. Mãi đến năm 2018 ngân hàng đầu tư của Mỹ mới tiến hành mã hóa dữ liệu khách hàng, còn trước đó mọi dữ liệu cứ mở ra là thấy hết, không cần mật khẩu.
Đọc thông tin sự việc này, khá chắc Morgan Stanley sẽ bước vào một cuộc kiện tụng với đơn vị chuyên trách việc tháo dỡ data center của họ. Tuyên bố chính thức của ngân hàng này cũng khá chung chung: “Chúng tôi vui mừng vì giải quyết được vấn đề. Chúng tôi đã thông báo với những khách hàng có khả năng bị ảnh hưởng bởi vụ việc đã xảy ra nhiều năm về trước, và chúng tôi không phát hiện ra bất kỳ hành vi đăng nhập trái phép hoặc sử dụng sai mục đích dữ liệu của khách hàng.” Nhiều chuyên gia cho rằng, án phạt là quá nhẹ, và ngay cả khi sự cố đã xảy ra nhiều năm trước, vẫn có những khách hàng đầu tư dài hạn thông qua Morgan Stanley sẽ bị ảnh hưởng nghiêm trọng từ nay về sau.
Theo ArsTechnica