Nieuws
image

Morgan Stanley meldt datalek na diefstal van versleutelde data en decryptiesleutel

donderdag 8 juli 2021, 16:36 door Redactie, 3 reacties
Laatst bijgewerkt: 08-07-2021, 16:47

De Amerikaanse investeringsbank Morgan Stanley heeft klanten gewaarschuwd voor een datalek nadat aanvallers begin dit jaar gegevens bij een leverancier wisten te stelen. Het gaat om adresgegevens, naam, geboortedatum, social-securitynummer en bedrijfsnaam. Dat blijkt uit een datalekmelding die het bedrijf bij de procureur-generaal van de Amerikaanse staat Montana deed (pdf).

Volgens de bank waren de bestanden met klantgegevens versleuteld bij third-party leverancier Guidehouse opgeslagen. De aanvaller maakte echter niet alleen de versleutelde bestanden buit, maar ook de decryptiesleutel. De kwetsbaarheid waardoor de aanvaller wist binnen te komen werd in januari van dit jaar door Guidehouse verholpen. De leverancier ontdekte pas in mei dat er ook gegevens van Morgan Stanley-klanten waren gestolen en waarschuwde daarop de bank.

Die heeft nu een datalekmelding naar getroffen klanten gestuurd. Om hoeveel personen het precies gaat is niet bekendgemaakt. In de staat Montana betreft het 43 personen. Die kunnen hun krediet twee jaar lang kosteloos laten monitoren.

Image

Reacties (3)
08-07-2021, 19:02 door Anoniem
De decryptiesleutels van de data van een bank, horen veilig op de systemen van het NFI te staan en nergens anders. Want dat is de enige plek waar ze echt veilig zijn.
09-07-2021, 03:50 door Anoniem
You're doing it wrong... Ook fijn dat de leverancier pas zijn klant informeert als blijkt dat de data ergens rond zweeft. Ze hadden beter in januari een melding kunnen doen aan alle klanten dat ze het onderzoeken. Dan konden die zelf ook maatregelen nemen. Maar ja daar zal het PR team wel tegen gestemd hebben.
09-07-2021, 05:53 door Anoniem
Het gaat om aandelen die "scheduled for escheatment" zijn. Ik moest opzoeken wat "escheatment" betekent, en dat blijkt iets te zijn dat in het VK en de VS bestaat, waarbij bezit terugvalt aan de staat als de rechtmatige eigenaar overleden is zonder bekende erfgenamen, maar bij aandelen zelfs als de bank de eigenaar langere tijd niet meer kan bereiken, als post wordt geretourneerd bijvoorbeeld. Dat terugvallen aan de staat stamt, net als de term escheatment, uit feodale tijden, toen bezit van land niet zoals nu goed juridisch verankerd is maar iets was dat door een hogere macht gegund werd, die het dus ook weer terugkreeg als iemand er niet meer was. Hedendaags escheatment is een proces waarbij het nog geruime tijd mogelijk is voor een rechtmatige eigenaar of nabestaanden om dat bezit weer terug te claimen van de staat.

We zijn hier gewend dat elke burger in de gemeentelijke basisadministratie persoonsgegevens staat (het vroegere bevolkingsregister) en dat vrijwel altijd makkelijk te achterhalen is of iemand nog leeft of niet. In het VK en de VS hebben ze geen bevolkingsregister. Dat ontbreekt gewoon. Daarom zijn er daar ook kiesregisters waar je je moet laten inschrijven om te kunnen stemmen bij verkiezingen. Ik heb in een vakantiehuisje in Engeland wel eens een oproep in de brievenbus gevonden voor de bewoners om zich voor de aankomende verkiezingen te registreren. De overheid weet daar domweg niet wie waar woont, buiten de administraties die allerlei instanties ieder afzonderlijk bijhouden. Zonder zo'n centrale administratie van wie er eigenlijk bestaat en of die nog leeft kan een bank onmogelijk achterhalen waar die aan toe is als post ongeopend wordt geretourneerd, en dan wordt zo'n escheatment-systeem zinvol.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure