Em ação coletiva, nos EUA, usuários reclamam que descarte de servidores expôs dados de clientes do banco Morgan Stanley

Uma ação coletiva contra o banco norte-americano Morgan Stanley deu entrada na tarde da última quinta-feira num tribunal de Nova York, acusando a instituição de duas violações de dados causadas pela perda, extravio ou violação dos equipamentos nos quais eles esses dados eram armazenados. Eles faziam parte de dois data centers que foram desativados e continham dados não-criptografados no momento da sua deleção, feita por uma empresa contratada para isso.

A petição inicial, com 33 páginas, conta que por volta do dia 9 de julho deste ano o Morgan Stanley começou a notificar procuradores-gerais em vários estados sobre violações de dados ocorridas no início de 2016. Também por volta dessa data o banco enviou a clientes atuais e antigos afetados pelas violações, ocorridas em 2016 e 2019, um “Aviso de Violação de Dados”.

A ação foi aberta em nome do aposentado Timothy Smith, que tem uma conta individual no Morgan Stanley. Na sexta-feira, o banco emitiu um comunicado sobre o assunto, informando que tem “monitorado continuamente a situação e não detectamos nenhuma atividade não autorizada relacionada ao assunto, nem acesso ou uso indevido de informações pessoais de clientes”, acrescentando que a empresa não comentará o processo.

Segundo a petição, em 2016 “o Morgan Stanley contratou um fornecedor para remover os dados dos clientes do equipamento (…) Posteriormente, o Morgan Stanley descobriu que os dados não foram totalmente ‘apagados’ e admite que ‘certos dispositivos que se acreditava terem sido apagados de todas as informações ainda continham alguns dados não criptografados.

Agora, segundo a petição, o Morgan Stanley admite que “esse equipamento está desaparecido”. Em 2019, o Morgan Stanley desconectou e substituiu vários servidores em várias filiais: “Os servidores antigos, que ainda continham os dados dos clientes, foram considerados criptografados, mas o Morgan Stanley posteriormente descobriu que uma ‘falha de software’ nos servidores deixava ‘dados anteriormente excluídos’ nos discos rígidos ‘de uma forma não criptografada”. Esses servidores também estão desaparecidos, de acordo com a denúncia.

Além da falha do Morgan Stanley em evitar a violação de dados, afirma a queixa, o banco “falhou em detectar a violação de dados durante anos e, quando descobriram a violação de dados, levaram mais de um ano, possivelmente mais, para relatá-la aos indivíduos afetados e aos procuradores-gerais dos estados”.

Fonte : CISO Advisor