Błąd w Lloyds Banking Ujawnił Dane Prawie Pół Miliona Klientów, a Odszkodowanie Jest Żałosne

Cztery Godziny Chaosu

Jeśli korzystałeś z Lloyds rankiem 12 marca i miałeś ochotę zajrzeć do cudzych finansów, przez chwilę miałeś taką możliwość. Błąd w oprogramowaniu wprowadzony podczas nocnej aktualizacji IT zlikwidował izolację kont w aplikacji mobilnej banku, co oznaczało, że klienci mogli przypadkowo przeglądać dane transakcyjne innych osób. Usterka działała od 03:28 do 08:08 GMT, przez okno czasowe wynoszące mniej więcej cztery godziny i czterdzieści minut, które od tamtej pory stało się dość kosztownym bólem głowy dla największej brytyjskiej grupy bankowości detalicznej.

W liście do Komisji Skarbu Lloyds potwierdził, że potencjalnie dotkniętych było nawet 447 936 klientów. Spośród nich 114 182 faktycznie kliknęło i przejrzało transakcje innych osób, potencjalnie widząc wrażliwe dane, w tym numery ubezpieczenia społecznego. To nie jest drobna wpadka. To alarmujące naruszenie poufności, mówiąc słowami przewodniczącej komisji, Dame Meg Hillier.

Co Tak Naprawdę Poszło Nie Tak?

Przyczyną był błąd w API. Gdy dwóch użytkowników trafiło na tę samą funkcję w ułamku sekundy, system po prostu się pomylił co do tego, czyje dane należą do kogo. Izolacja kont uległa awarii i nagle twoja wtorkowa transakcja za kawę stała się lekturą przed snem dla kogoś innego.

W czasie trwania incydentu zalogowało się 1,67 miliona spośród 21,5 miliona użytkowników aplikacji mobilnej Lloyds. Dotyczyło to wyłącznie kont bieżących, a bank zapewnia, że żadne salda nie zostały naruszone i żaden klient nie poniósł straty finansowej. Małe pocieszenie, choć można przypuszczać, że ponad 114 000 osób, których numery ubezpieczenia społecznego były widoczne, mogłoby nieco szerzej zdefiniować pojęcie "straty".

Odszkodowanie, Które Ledwo Pokrywa Kolejkę Drinków

I tu sprawy stają się naprawdę zdumiewające. Lloyds wypłacił 139 000 funtów w formie płatności dobrej woli, podzielonych między zaledwie 3 625 klientów. Dla tych, którzy sięgają po kalkulator, daje to około 38,34 funta na osobę.

Trzydzieści osiem funtów. Za ujawnienie twoich osobistych danych finansowych i numeru ubezpieczenia społecznego obcym osobom. Można argumentować, że to ledwo pokrywa stres emocjonalny związany z odkryciem, że bank nie jest w stanie utrzymać porządku w swoich API, nie mówiąc już o czasie spędzonym na martwienie się o kradzież tożsamości. Czy Lloyds uważa sprawę za zamkniętą przy tak skromnych wypłatach, pozostaje do zobaczenia, ale można bezpiecznie powiedzieć, że wizerunkowo nie wygląda to najlepiej.

Regulatorzy Krążą w Pobliżu

Financial Conduct Authority potwierdziło, że aktywnie angażuje się w kontakty z Lloyds Banking Group w sprawie incydentu. Tymczasem Information Commissioner's Office prowadzi zapytania, choć Lloyds przynajmniej powiadomił ICO w wymaganym oknie 72 godzin. Terminowe wypełnienie dokumentów nie cofa naruszenia, ale sugeruje, że ktoś w dziale compliance był uważny, nawet jeśli API nie było.

Komisja Skarbu również nie pozwoli tej sprawie cicho przeminąć. Dame Meg Hillier zażądała od banku zarówno miesięcznych, jak i sześciomiesięcznych raportów kontrolnych, zapewniając, że temat pozostanie w centrum uwagi co najmniej do jesieni.

Szerszy Kontekst

Lloyds Banking Group obsługuje około 26 milionów klientów w ramach swoich różnych marek. Przy takiej skali błąd w oprogramowaniu nie dotyka kilku kont. Skaluje się spektakularnie. Fakt, że jedna nocna zmiana mogła naruszyć izolację kont dla setek tysięcy użytkowników, rodzi poważne pytania o protokoły testowania i zabezpieczenia wdrożeń.

Jasjyot Singh, szef działu relacji konsumenckich Lloyds, napisał list z przeprosinami do komisji. Przeprosiny są mile widziane, ale klienci będą uważnie obserwować, czy nastąpią znaczące zmiany, czy też stanie się to kolejnym przypadkiem bankowości w stylu "przepraszam, ale niespecjalnie".

Na razie, jeśli byłeś dotknięty incydentem, pilnuj swoich kont i zastanów się, czy 38,34 funta to odpowiednie uznanie za to, że twój bank na chwilę zamienił twoje dane finansowe w loterię.

Przeczytaj oryginalny artykuł na stronie źródłowej.