La société de gestion d’actifs américaine Morgan Stanley a vendu pendant plusieurs années sur eBay des disques durs non cryptés et mis hors service. Cette négligence grave dans le domaine de la protection des données coûte désormais très cher à l’entreprise et entraîne une amende de plusieurs millions.
Morgan Stanley a vendu des disques durs non cryptés sur eBay
La société de gestion d’actifs américaine Morgan Stanley Smith Barney (MSSB) a été condamnée à une amende de 35 millions de dollars aux États-Unis. Pendant plusieurs années, l’entreprise vendait via eBay des disques durs mis au rebut et non cryptés.
Et cela sans supprimer au préalable les données personnelles et confidentielles des clients, rapporte le magazine Heise Online, citant la Securities and Exchange Commission (SEC) des États-Unis. Le gestionnaire de fortune avait fait appel à plusieurs reprises à une entreprise spécialisée dans le déménagement et le stockage, qui n’avait aucune expertise en matière de destruction de données.
Des milliers de disques durs et de serveurs ont ainsi été nettoyés, et les informations non cryptées concernaient des millions de clients. La majeure partie s’est retrouvée sur la plateforme d’enchères eBay à un moment donné.
15 millions de personnes touchées
Au total, les données non cryptées, en partie personnelles et financières, d’environ 15 millions de clients se seraient retrouvées sur eBay sur une période de cinq ans. Bien que le matériel soit équipé d’une fonction de cryptage, celle-ci n’a tout simplement pas été activée pendant des années.
Pour Gurbir Grewal, de la SEC, cette négligence en matière de protection des données est tout simplement étonnante, comme le montre un communiqué.
« Les clients confient leurs informations personnelles et financières à une entreprise et supposent qu’elles seront protégées. Le MSSB a lamentablement échoué à cet égard. » dit Gurbir Grewal. Entre de mauvaises mains, ces informations sensibles pourraient causer des dommages désastreux, a ajouté Grewal.
Morgan Stanley vient cette fuite de données désormais coûteuse à supporter. Un tribunal américain a condamné l’entreprise à une amende de 35 millions de dollars. La perte de confiance des clients risque également de coûter cher à l’entreprise.
L’affaire n’est pas sans rappeler un incident similaire survenu début 2022. Dans cette affaire, près de 33 000 e-mails contenant des données sensibles provenant de disques durs d’ordinateurs mis hors service appartenant à l’Office des étrangers de Lübeck se sont retrouvés sur eBay.