Morgan Stanley согласовал выплату в размере 60 миллионов долларов для урегулирования иска об утечке данных.
Гигант банковских и финансовых услуг США столкнулся с коллективным иском после двух инцидентов с утечкой данных с участием примерно 15 миллионов нынешних и бывших клиентов.
Согласно ходатайству (.PDF), компанией Morgan Stanley, в 2016 и 2019 годах было списано устаревшее оборудование, которое содержало личную информацию (personally identifiable information, PII) клиентов. Однако, перед продажей, оборудование не было очищено от этой конфиденциальной информации. Данные находились в раскрытом и не зашифрованном виде и доступны для просмотра покупателям этого оборудования.
Судебные документы говорят о том, что списанное оборудование включало старые серверы и другое оборудование из дата-центров.
В 2017 году с Morgan Stanley связался один из этих покупателей и сообщил компании, что у них есть доступ к данным клиентов.
«В 2020 году после расследования Управления по контролю денежного обращения (Office of Comptroller of Currency, OCC) поручило Morgan Stanley уведомить об инцидентах с безопасностью данных своих потенциально затронутых нынешних и бывших клиентов», – говорится в заявлении. «Morgan Stanley начал рассылку писем с уведомлениями в июле 2020 года. Действие OCC привело к постановлению о согласии, в котором говорилось, что Morgan Stanley “не смог эффективно оценить или устранить риски, связанные с выводом из эксплуатации своего оборудования”.
После получения уведомлений был подан коллективный иск. Кроме того, OCC наложил штраф в размере 60 миллионов долларов за сбои в защите данных.
Morgan Stanley отрицает свою ответственность. Однако, если сумма урегулирования будет одобрена судьей федерального суда Манхэттена, 60 миллионов долларов будут присуждены потенциально затронутым клиентам через расчетный фонд.
Заявители будут иметь право на по крайней мере 24 месяца услуг по страхованию от мошенничества, и каждый участник иска может претендовать на сумму до 10 000 долларов США на собственные расходы и 100 долларов США на “потерянное время” (четыре часа по 25 долларов США в час). Дополнительные потерянные часы будут рассмотрены, если будут предоставлены приемлемые доказательства..
Банк также согласился нанять третью сторону, чтобы попытаться найти недостающее оборудование в течение 12 месяцев, часть которого была восстановлена.а.
Morgan Stanley сделал в Bloomberg следующее заявление, «Мы ранее уведомили всех потенциально затронутых клиентов относительно этих вопросов, которые произошли несколько лет назад, и рады разрешить этот связанный судебный процесс».