News · 3 min lezen

Lloyds Banking Storing Legde Gegevens van Bijna Een Half Miljoen Klanten Bloot, en de Compensatie Is Belachelijk Laag

Een API-fout bij Lloyds legde de gegevens van bijna een half miljoen klanten bloot. 114.182 klanten zagen transacties van anderen, maar de compensatie bedraagt gemiddeld slechts 38,34 pond.

English translationGerman translationSpanish translationEstonian translationFrench translationHungarian translationDutch translation (current)Polish translationPortuguese translationRussian translationUkrainian translation
Door Daniel Benson 3 min
Lloyds Banking Storing Legde Gegevens van Bijna Een Half Miljoen Klanten Bloot, en de Compensatie Is Belachelijk Laag

Een Venster van Vier Uur Chaos

Als je op de ochtend van 12 maart bij Lloyds bankierde en toevallig een blik wilde werpen op iemand anders zijn financien, had je even geluk. Een softwarefout die tijdens een nachtelijke IT-update was geintroduceerd, verbrak de accountisolatie in de mobiele app van de bank, waardoor klanten per ongeluk transactiegegevens van anderen konden bekijken. De storing duurde van 03:28 tot 08:08 GMT, een periode van ongeveer vier uur en veertig minuten die sindsdien een behoorlijk kostbare hoofdpijn is geworden voor de grootste retailbankiergroep van het VK.

In een brief aan het Treasury Select Committee bevestigde Lloyds dat tot wel 447.936 klanten mogelijk getroffen waren. Van hen klikte 114.182 daadwerkelijk door om transacties van anderen te bekijken, waarbij ze mogelijk gevoelige gegevens zagen, waaronder burgerservicenummers. Dat is geen klein probleempje. Dat is een alarmerend schending van de vertrouwelijkheid, om de woorden van commissievoorzitter Dame Meg Hillier te gebruiken.

Wat Ging Er Eigenlijk Mis?

De oorzaak was een API-fout. Wanneer twee gebruikers binnen fracties van een seconde dezelfde functie aanriepen, raakte het systeem in verwarring over wiens gegevens van wie waren. De accountisolatie brak samen, en plotseling was jouw dinsdagochtend-koffietransactie het leesvoer van iemand anders voor het slapengaan.

Tijdens het incidentvenster logden 1,67 miljoen van Lloyds' 21,5 miljoen gebruikers van de mobiele app in. Alleen betaalrekeningen waren getroffen, en de bank beweert dat er geen saldi zijn gecompromitteerd en geen klanten financieel verlies hebben geleden. Een kleine troost, hoewel men vermoedt dat de 114.000 mensen wiens burgerservicenummers zichtbaar waren "verlies" misschien iets ruimer zouden omschrijven.

De Compensatie die Nauwelijks een Rondje Dekt

Dit is waar het pas echt wenkbrauwverheffend wordt. Lloyds heeft 139.000 pond aan goodwillbetalingen uitgekeerd, verdeeld over slechts 3.625 klanten. Voor wie snel rekent: dat komt neer op ongeveer 38,34 pond per persoon.

Achtendertig pond. Voor het feit dat je persoonlijke financiele gegevens en burgerservicenummer aan vreemden zijn blootgesteld. Je zou kunnen stellen dat dat nauwelijks de emotionele stress dekt van de ontdekking dat jouw bank zijn API's niet op orde kan houden, laat staan de tijd die je besteedt aan piekeren over identiteitsfraude. Of Lloyds de zaak als gesloten beschouwt met zulke bescheiden uitbetalingen valt nog te bezien, maar het is veilig te zeggen dat dit er niet goed uitziet.

Toezichthouders Cirkelen Boven de Markt

De Financial Conduct Authority heeft bevestigd dat zij actief in gesprek is met Lloyds Banking Group over het incident. Ondertussen doet de Information Commissioner's Office navraag, hoewel Lloyds de ICO tenminste wel binnen het vereiste venster van 72 uur heeft geinformeerd. Snelle papierwinkel maakt de inbreuk niet ongedaan, maar het suggereert dat iemand bij compliance oplette, ook al deed de API dat niet.

Het Treasury Select Committee laat dit ook niet stilletjes verdwijnen. Dame Meg Hillier heeft zowel een rapport na een maand als na zes maanden geëist van de bank, zodat dit onderwerp tot ver in de herfst op de agenda blijft staan.

Het Grotere Plaatje

Lloyds Banking Group bedient circa 26 miljoen klanten via zijn verschillende merken. Op die schaal leidt een softwarefout niet tot slechts een handvol getroffen accounts. Het schaalt spectaculair op. Het feit dat een enkele nachtelijke wijziging de accountisolatie van honderdduizenden gebruikers kon compromitteren, roept ernstige vragen op over testprotocollen en veiligheidsmaatregelen bij implementaties.

Jasjyot Singh, hoofd consumentenrelaties bij Lloyds, schreef de verontschuldigingsbrief aan de commissie. Een verontschuldiging is welkom, maar klanten zullen nauwlettend in de gaten houden of er zinvolle veranderingen volgen of dat dit een nieuw geval wordt van sorry-maar-niet-echt bankieren.

Voor nu: als je getroffen bent, houd je rekeningen in de gaten en overweeg of 38,34 pond aanvoelt als een passende erkenning dat je bank je financiele gegevens even in een grabbelton heeft veranderd.

Lees het originele artikel op bron.

D
Geschreven door

Daniel Benson

Writer, editor, and the entire staff of SignalDaily. Spent years in tech before deciding the news needed fewer press releases and more straight talk. Covers AI, technology, sport and world events — always with context, sometimes with sarcasm. No ads, no paywalls, no patience for clickbait. Based in the UK.