Servers en harde schijven Morgan Stanley Smith Barney op eBay

De Amerikaanse bank Morgan Stanley Smith Barney heeft een probleem met oude servers en harde schijven. Daardoor zijn de gegevens van 15 miljoen klanten op straat gekomen. Deze fout levert een boete op van $35 miljoen. morgan-stanleyHet is niet de eerste keer dat een Amerikaanse bank op grote schaal persoonsgegevens lekt. Men zou verwachten dat deze sector daardoor extra alert is. Maar Morgan Stanley Smith Barney (MSSB) heeft schijnbaar sinds 2015 een onprofessioneel bedrijf harde schijven en servers laten vernietigen en afvoeren. Wat die aannemer daar precies onder verstond was niet in overeenstemming met de wet. De goederen werden namelijk op eBay en vergelijkbare plekken aangeboden en de data was terug te halen. Dat werd trouwens ontdekt door personeel van de bank dat de eigen voormalige hardware herkende. Deze keer keer is de omvang van het lek “beperkt” tot 42 servers. Op elk daarvan stonden persoonsgegevens van klanten. Die data bleek niet encrypted en ook niet gewist. Een blunder want op elke server stond software die dat mogelijk moest maken. MSSB had alleen nooit de moeite genomen deze software te activeren.

Tenminste twee fouten

Daarmee zijn volgens de Amerikaanse toezichthouder SEC dus in ieder geval twee fouten gemaakt. Fout een is dat tijdens het gebruik van de servers is de klantdata nooit afdoende beschermd geweest. De tweede fout is dat in het proces van het uitfaseren van de servers ook niet de data destructie functie is geactiveerd. Hoewel niet benoemd in het persbericht van de SEC lijkt er nog een veel grotere fout te zijn: MSSB heeft verzaakt periodiek te testen of deze procedures wel werkten. Het is dan ook onvoorstelbaar dat dit nooit tijdens een audit naar boven is gekomen. Dit soort berichten is een gruwel voor Amerikaanse consumenten. Zij zullen nu nog beter begrijpen waarom cybercriminelen in staat zijn de slachtoffers heel gericht te benaderen. Die hebben immers de volledige doopceel van 15 miljoen rekeninghouders, van naar, aanhef tot en met uitgavepatronen. In dit geval gaat het daarbij ook nog eens het klantenbestand van een bank voor vermogensbeheer. Het bericht zou koren op de molen moeten zijn van de bedrijven die wel serieus omgaan met data- en hardware vernietiging. Punt is echter dat niet iedereen zal geloven dat een bank, onderdeel van een van de meest gecontroleerde sectoren, zulke blunders begaat.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein