Plusieurs procès sont en cours contre Morgan Stanley. Il est reproché à la firme d’avoir compromis des informations sensibles sur ses clients en n’effaçant pas complètement le matériel informatique mis hors service qui a depuis disparu, selon un article du Financial Planning.
La première poursuite déposée devant la cour fédérale de New York concerne cinq clients et ex-clients de la firme qui ont appris en juillet, par une notification de la banque, des violations de données qui se sont produites dès 2016.
Une deuxième action a été intentée deux jours après. Celle-ci concerne deux autres personnes ayant reçu la même notification.
En 2016, la firme a fermé deux centres de données. Elle avait alors engagé quelqu’un pour supprimer les données clients. Malgré cette précaution, certains appareils contenaient encore des données non cryptées après avoir quitté la possession de l’entreprise. On parle ici de numéros de sécurité sociale, de passeport et de compte.
Le responsable de la sécurité de l’information de Morgan Stanley a envoyé une lettre aux procureurs généraux qui explique que les serveurs de la succursale que la société a déconnectés en 2019 présentaient une faille logicielle qui laissait des « données précédemment supprimées » non cryptées sur les disques durs.
« Lors d’un inventaire récent, nous n’avons pas pu localiser un petit nombre de ces dispositifs », précise encore la lettre.
Un porte-parole de Morgan Stanley a déclaré que la société « a constamment surveillé la situation et n’a détecté aucune activité non autorisée en la matière, ni aucun accès aux données personnelles des clients ou usage abusif de celles-ci ».
Le procès retient toutefois que « les équipements et serveurs manquants contiennent tout ce dont des tiers non autorisés ont besoin pour utiliser illégalement les [informations personnelles identifiables] des clients actuels et anciens de Morgan Stanley afin de voler leur identité et de faire des achats frauduleux ».
Les plaignants estiment qu’en plus d’avoir été imprudent et négligent dans la protection de leurs données, Morgan Stanley a tardé à réaliser que des données avaient été compromises et a alerté les clients concernés. Les poursuites ne précisent toutefois pas le montant des dommages.