De Amerikaanse bank Morgan Stanley Smith Barney heeft een probleem met oude servers en harde schijven. Daardoor zijn de gegevens van 15 miljoen klanten op straat gekomen. Deze fout levert een boete op van $35 miljoen.
Het is niet de eerste keer dat een Amerikaanse bank op grote schaal persoonsgegevens lekt. Men zou verwachten dat deze sector daardoor extra alert is. Maar Morgan Stanley Smith Barney (
MSSB) heeft schijnbaar sinds 2015 een onprofessioneel bedrijf harde schijven en servers laten vernietigen en afvoeren. Wat die aannemer daar precies onder verstond was niet in overeenstemming met de wet. De goederen werden namelijk op eBay en vergelijkbare plekken aangeboden en de data was terug te halen. Dat werd trouwens ontdekt door personeel van de bank dat de eigen voormalige hardware herkende.
Deze keer keer is de omvang van het lek “beperkt” tot 42 servers. Op elk daarvan stonden persoonsgegevens van klanten. Die data bleek niet encrypted en ook niet gewist. Een blunder want op elke server stond software die dat mogelijk moest maken. MSSB had alleen nooit de moeite genomen deze software te activeren.
Tenminste twee fouten
Daarmee zijn volgens de Amerikaanse toezichthouder
SEC dus in ieder geval twee fouten gemaakt. Fout een is dat tijdens het gebruik van de servers is de klantdata nooit afdoende beschermd geweest. De tweede fout is dat in het proces van het uitfaseren van de servers ook niet de data destructie functie is geactiveerd. Hoewel niet benoemd in het persbericht van de SEC lijkt er nog een veel grotere fout te zijn: MSSB heeft verzaakt periodiek te testen of deze procedures wel werkten. Het is dan ook onvoorstelbaar dat dit nooit tijdens een audit naar boven is gekomen.
Dit soort berichten is een gruwel voor Amerikaanse consumenten. Zij zullen nu nog beter begrijpen waarom cybercriminelen in staat zijn de slachtoffers heel gericht te benaderen. Die hebben immers de volledige doopceel van 15 miljoen rekeninghouders, van naar, aanhef tot en met uitgavepatronen. In dit geval gaat het daarbij ook nog eens het klantenbestand van een bank voor vermogensbeheer.
Het bericht zou koren op de molen moeten zijn van de bedrijven die wel serieus omgaan met data- en hardware
vernietiging. Punt is echter dat niet iedereen zal geloven dat een bank, onderdeel van een van de meest gecontroleerde sectoren, zulke blunders begaat.
