De Amerikaanse bank Morgan Stanley Smith Barney heeft een probleem met oude servers en harde schijven. Daardoor zijn de gegevens van 15 miljoen klanten op straat gekomen. Deze fout levert een boete op van $35 miljoen.
Deze keer keer is de omvang van het lek “beperkt” tot 42 servers. Op elk daarvan stonden persoonsgegevens van klanten. Die data bleek niet encrypted en ook niet gewist. Een blunder want op elke server stond software die dat mogelijk moest maken. MSSB had alleen nooit de moeite genomen deze software te activeren.
Tenminste twee fouten
Daarmee zijn volgens de Amerikaanse toezichthouder SEC dus in ieder geval twee fouten gemaakt. Fout een is dat tijdens het gebruik van de servers is de klantdata nooit afdoende beschermd geweest. De tweede fout is dat in het proces van het uitfaseren van de servers ook niet de data destructie functie is geactiveerd. Hoewel niet benoemd in het persbericht van de SEC lijkt er nog een veel grotere fout te zijn: MSSB heeft verzaakt periodiek te testen of deze procedures wel werkten. Het is dan ook onvoorstelbaar dat dit nooit tijdens een audit naar boven is gekomen.
Dit soort berichten is een gruwel voor Amerikaanse consumenten. Zij zullen nu nog beter begrijpen waarom cybercriminelen in staat zijn de slachtoffers heel gericht te benaderen. Die hebben immers de volledige doopceel van 15 miljoen rekeninghouders, van naar, aanhef tot en met uitgavepatronen. In dit geval gaat het daarbij ook nog eens het klantenbestand van een bank voor vermogensbeheer.
Het bericht zou koren op de molen moeten zijn van de bedrijven die wel serieus omgaan met data- en hardware vernietiging. Punt is echter dat niet iedereen zal geloven dat een bank, onderdeel van een van de meest gecontroleerde sectoren, zulke blunders begaat.