(Bloomberg) – “Morgan Stanley zgodził się zapłacić 60 milionów dolarów za rozstrzygnięcie pozwu zbiorowego konsumentów, którzy twierdzą, że firma nie chroni ich danych osobowych. Umowa, jeśli zostanie zatwierdzona przez sędziego federalnego na Manhattanie, rozwiąże roszczenia dotyczące dwóch naruszeń bezpieczeństwa, które naruszyły dane osobowe 15 milionów obecnych i byłych klientów, według grupy z nich, która pozwała w lipcu 2020 r. Klienci twierdzili, że informacje są przechowywane w zamkniętych centrach danych i na serwerach komputerowych w lokalizacjach oddziałów, które zostały wymienione.
Dane przechowywane na sprzęcie wycofanego z użytku centrum danych, w tym numery ubezpieczenia społecznego klientów i daty urodzenia, nie zostały całkowicie wyczyszczone, a sprzęt zaginął. Twierdzili, że luka w oprogramowaniu pozostawiła dane na starych serwerach w postaci niezaszyfrowanej.
„Wcześniej powiadamialiśmy wszystkich potencjalnie dotkniętych tymi sprawami klientów w związku z tymi sprawami, które miały miejsce kilka lat temu, i cieszymy się, że możemy rozwiązać ten powiązany spór” – poinformował bank w poniedziałkowym oświadczeniu.
Strony ogłosiły w listopadzie, że doszły do ugody w zasadzie, bez ujawniania szczegółów. Morgan Stanley nadal odrzuca roszczenia, według sądu, który złożył w piątek wniosek o zatwierdzenie ugody.
Analisa Torres, sędzia okręgowy Stanów Zjednoczonych, musi podpisać umowę, zanim wejdzie ona w życie.
Sprawa to Tillman i in. przeciwko Morgan Stanley Smith Barney LLC, 20-cv-5914, Sąd Okręgowy Stanów Zjednoczonych, Okręg Południowy Nowego Jorku (Manhattan).
Andrei Vittorio.”
Pierwszy incydent dotyczył likwidacji dwóch centrów danych zarządzania majątkiem przez firmę Morgan Stanley. Sprzedawcy banku, firmie Triple Crown, powierzono wyczyszczenie lub zniszczenie niezaszyfrowanego sprzętu komputerowego przed usunięciem go z centrów. Później okazało się, że sprzęt ten zawierał dane nawet po tym, jak opuścił kontrolę dostawcy. Według Morgan Stanley sprzedawca usunął urządzenia i odsprzedał je stronie trzeciej bez zezwolenia.
Drugie zdarzenie dotyczyło wymiany i usunięcia sprzętu w oddziałach w ramach programu odświeżania sprzętu. Bankowi nie udało się zlokalizować niektórych z tych urządzeń, które – z powodu usterki oprogramowania – mogły zawierać na dyskach wcześniej usunięte informacje w postaci niezaszyfrowanej.
Zgodnie z proponowaną ugodą klienci mają prawo do co najmniej dwuletniego ubezpieczenia od oszustw, a także mogą ubiegać się o zwrot do 10 000 USD z tytułu strat z własnej kieszeni. Bank zapewnił również, że zmodernizuje swoje praktyki w zakresie bezpieczeństwa danych.