Facepalm: Na quarta-feira, o Morgan Stanley resolveu uma reclamação da Securities and Exchange Commission (SEC) sobre falhas de segurança “surpreendentes” que ocorreram entre 2016 e 2021. O gigante financeiro concordou em pagar uma multa de US$ 35 milhões pelo descarte indevido de discos rígidos de um de seus data centers desativados.
De acordo com a reclamação da SEC, o Morgan Stanley leiloou cerca de 1.000 HDDs não criptografados que não tiveram seu conteúdo apagado. Também alega que a empresa descartou indevidamente milhares de discos rígidos e mídia magnética de backup, expondo os dados de mais de 15 milhões de clientes do Morgan Stanley. Autoridades chamaram as falhas de segurança de “surpreendentes”.
“As falhas da MSSB neste caso são surpreendentes. Os clientes confiam suas informações pessoais a profissionais financeiros com o entendimento e expectativa de que serão protegidas, e a MSSB falhou lamentavelmente em fazê-lo”, disse Gurbir S. Grewal, diretor da divisão de fiscalização da SEC. “Se não forem devidamente protegidas, essas informações confidenciais podem acabar nas mãos erradas e ter consequências desastrosas para os investidores”.
De acordo com a SEC, o Morgan Stanley desativou dois data centers em 2016, resultando em uma cascata de falhas de segurança causadas por negligência da empresa.
“Você é uma grande instituição financeira e deve seguir algumas diretrizes muito rigorosas sobre como lidar com a aposentadoria de hardware.”
Para começar, em vez de destruir os discos rígidos ou ter uma equipe interna de TI zerando-os, a empresa contratou uma empresa terceirizada de mudanças para cuidar do hardware. A empresa de mudança tomou posse de 53 matrizes RAID compostas por cerca de 1.000 HDDs e cerca de 8.000 fitas de backup. A empresa não identificada supostamente não tinha experiência em desativação de mídia de armazenamento.
A empresa de mudança inicialmente subcontratou uma empresa de TI para limpar as unidades. No entanto, as duas empresas tiveram um desentendimento, e a empresa começou a vender os dispositivos de armazenamento para outra empresa que se virou e os leiloou on-line sem apagá-los.
Em 2017, quase um ano após o início do projeto de desativação, um profissional de TI de Oklahoma enviou um e-mail ao Morgan Stanley e informou que ele tinha discos rígidos contendo os dados dos clientes da empresa.
“Você é uma grande instituição financeira e deve seguir algumas diretrizes muito rígidas sobre como lidar com a desativação de hardware”, escreveu o consultor de TI. “Ou, no mínimo, obter algum tipo de verificação de destruição de dados dos fornecedores para os quais você vende equipamentos.”
A empresa de gestão de patrimônio posteriormente comprou de volta todos os HDDs que o consultor tinha em sua posse.
Além da negligência de não zerar as unidades e não manter o controle sobre o que seus contratados estavam fazendo com elas, a maioria dos dados do cliente não era criptografada, embora muitos dos HDDs tivessem suporte de criptografia integrado. O Morgan Stanley só começou a usar criptografia em 2018 e apenas para novos arquivos – os dados antigos ainda estavam desprotegidos. A SEC afirma que, mesmo após 2018, algumas informações ainda não estavam criptografadas devido a uma falha de segurança em seu conjunto de proteção de dados.
O Morgan Stanley concordou em pagar a multa sem admitir culpa ou irregularidade. O Business Standard observa que um porta-voz disse que não há indicação de que nenhum cliente tenha sido afetado.
“Nós já notificamos os clientes aplicáveis sobre esses assuntos, que ocorreram há vários anos, e não detectamos nenhum acesso não autorizado ou uso indevido de informações pessoais de clientes”, disse o porta-voz.