El gigante estadounidense de servicios financieros Morgan Stanley acordó el martes pagar a la Comisión de Valores y Bolsa (SEC) una multa de 35 millones de dólares por fallos en la seguridad de los datos.
Según la denuncia de la SEC, la firma habría permitido que unos 1000 discos duros (HDD) sin cifrar y unas 8000 cintas de copia de seguridad procedentes de centros de datos clausurados fueran revendidos en sitios de subastas sin haber sido borrados previamente.
La eliminación inadecuada de los dispositivos comenzó al parecer en 2016 y, según la denuncia de la SEC, formó parte de un “fallo extenso” que expuso los datos de 15 millones de clientes.
De hecho, en lugar de destruir los discos duros o emplear a un equipo informático interno para borrarlos, Morgan Stanley habría contratado a una empresa de mudanzas no identificada y sin experiencia, supuestamente, en el desmantelamiento de soportes de almacenamiento para que se encargara del hardware.
La empresa de mudanzas subcontrató inicialmente a una empresa de TI para que borrara las unidades, pero su relación comercial se agrió, por lo que la empresa de mudanzas empezó a vender los dispositivos de almacenamiento a otra empresa que los subastó en línea sin borrarlos.
Los hechos salieron a la luz por primera vez después de que un profesional de TI de Oklahoma detectara algunos de los discos duros en línea en 2017 y enviara un correo electrónico a Morgan Stanley al respecto. Al ser notificado, la empresa compró entonces todos los HDD que el consultor tenía en su poder.
Avanzando rápidamente hasta hoy, Morgan Stanley acordó pagar la multa sin admitir culpa o delito. La empresa también ha declarado a The Business Standard que no hay indicios de que algún cliente se haya visto afectado.
Con información de iProfesional.