Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Multa de 35M$ para Morgan Stanley por subastar discos duros en internet sin borrar con datos personales de 15 millones de clientes


 La Comisión de Bolsa y Valores anunció cargos contra Morgan Stanley Smith Barney LLC (MSSB) derivados de las extensas fallas de la empresa, durante un período de cinco años, para proteger la información de identificación personal, o PII, de aproximadamente 15 millones de clientes. MSSB acordó pagar una multa de 35 millones $ para liquidar los cargos de la SEC. Durante 5 años, según la sentencia de la SEC, MSSB no supervisó adecuadamente el trabajo de estos terceros, que vendieron a terceros datos de miles de dispositivos. Más aún, los datos personales de clientes fueron subastados en internet sin eliminar la información.

 


 

Multa de $ 35 millones para Morgan Stanley después de que se subastan discos duros sin cifrar y sin borrar

El gigante bancario de EE. UU. acordó pagar una multa de 35 millones de dólares a la Comisión de Bolsa y Valores de EE. UU. después de que el banco admitiera no haber supervisado y garantizado que las operaciones de desmantelamiento de servidores y discos duros se estaban llevando a cabo correctamente.

 Según la investigación de la SEC, el banco de EE. UU. utilizó a un contratista externo para deshacerse de su equipo antiguo durante un programa de actualización de hardware, pero no se dio cuenta de que esta empresa había revendido su equipo antiguo a otra empresa que luego lo puso en línea para subastar. Los funcionarios de la SEC dijeron que algunos de los dispositivos vendidos a través de esta subasta todavía contenían datos de clientes sin cifrar y que el banco debería haberse asegurado de que el equipo fuera destruido o borrado para garantizar que la privacidad de sus usuarios no se pusiera en peligro.


Morgan Stanley acordó  pagar a la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) una multa de $ 35 millones por fallas en la seguridad de los datos que incluyeron discos duros sin cifrar de centros de datos fuera de servicio que se revendieron en sitios de subastas sin borrarlos primero.

La acción de la SEC dijo que la eliminación inadecuada de miles de discos duros a partir de 2016 fue parte de una "falla extensa" durante un período de cinco años para salvaguardar los datos de los clientes según lo exigen las regulaciones federales. La agencia dijo que las fallas también incluyeron la eliminación inadecuada de discos duros y cintas de respaldo al desmantelar servidores en sucursales locales. En total, la SEC dijo que se expusieron los datos de 15 millones de clientes.

“Las fallas de MSSB en este caso son asombrosas”, dijo Gurbir S. Grewal, director de la división de ejecución de la SEC, usando las iniciales de Morgan Stanley Smith Barney, el nombre completo de la firma. “Los clientes confían su información personal a profesionales financieros con el entendimiento y la expectativa de que estará protegida, y MSSB se quedó muy corto al hacerlo”.

Gran parte del fracaso se debió a la contratación en 2016 de una empresa de mudanzas sin experiencia ni pericia en servicios de destrucción de datos para desmantelar miles de discos duros y servidores que contenían los datos de millones de clientes. La empresa de mudanzas recibió 53 espejos RAID que, en conjunto, contenían aproximadamente 1.000 discos duros, y también eliminó alrededor de 8.000 cintas de respaldo de uno de los centros de datos de Morgan Stanley.

La empresa de mudanzas no identificada inicialmente contrató a un especialista en TI para borrar o destruir los datos confidenciales almacenados en las unidades. Eventualmente, la empresa de mudanzas dejó de trabajar con ese especialista y comenzó a vender los dispositivos de almacenamiento a una empresa que a su vez los vendió en una subasta. La nueva empresa nunca fue examinada por Morgan Stanley ni aprobada como contratista o subcontratista en el proyecto de desmantelamiento.

En 2017, más de un año después del desmantelamiento del centro de datos, los funcionarios de Morgan Stanley recibieron un correo electrónico de un consultor de TI en Oklahoma, informándoles que los discos duros que compró en un sitio de subastas en línea contenían datos de Morgan Stanley.

La acción de la SEC también dijo que muchos de los dispositivos de almacenamiento no tenían activado el cifrado, aunque existía la opción. Incluso después de que la firma de inversión comenzara a usar opciones de cifrado en 2018, solo se protegieron los nuevos datos escritos en los discos. En algunos casos, los datos aún no se cifraron correctamente debido a una falla en el producto de un proveedor no identificado.

Sin admitir ni negar los reclamos de la SEC, Morgan Stanley aceptó el hallazgo del martes de que violó las Normas de salvaguardia y disposición bajo la Regulación S-P y acordó pagar la multa de $35 millones.

En un comunicado, los funcionarios de Morgan Stanley escribieron: “Nos complace resolver este asunto. Hemos notificado previamente a los clientes correspondientes sobre estos asuntos, que ocurrieron hace varios años, y no hemos detectado ningún acceso no autorizado o uso indebido de la información personal del cliente”.
 

  •  Si bien MSSB recuperó algunos de los dispositivos, que se demostró que contenían miles de datos de clientes sin cifrar, la empresa no ha recuperado la gran mayoría de los dispositivos. 
  • MSSB también se enteró de que los dispositivos locales que estaban siendo dados de baja estaban equipados con capacidad de cifrado, pero que la empresa no había activado el software de cifrado durante años.


“Las fallas de MSSB en este caso son asombrosas. Los clientes confían su información personal a profesionales financieros con el entendimiento y la expectativa de que estará protegida, y MSSB se quedó muy corto al hacerlo”, dijo Gurbir S. Grewal, Director de la División de Cumplimiento de la SEC. “Si no se protege adecuadamente, esta información confidencial puede terminar en las manos equivocadas y tener consecuencias desastrosas para los inversores. La acción de hoy envía un mensaje claro a las instituciones financieras de que deben tomarse en serio su obligación de salvaguardar dichos datos”.


Fuentes:

https://arstechnica.com/information-technology/2022/09/morgan-stanley-pays-35m-penalty-for-extensive-failure-to-safeguard-customer-data/

https://www.sec.gov/news/press-release/2022-168


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.