Falha no Lloyds Banking Expôs Dados de Quase Meio Milhão de Clientes, e a Compensação é Ridícula

Uma Janela de Quatro Horas de Caos

Se você era cliente do Lloyds na manhã de 12 de março e tivesse curiosidade de ver as finanças de outra pessoa, por um breve momento teria conseguido. Um defeito de software introduzido durante uma atualização de TI realizada durante a noite quebrou o isolamento de contas no aplicativo móvel do banco, fazendo com que clientes pudessem visualizar acidentalmente os dados de transações de outras pessoas. A falha ocorreu entre 03:28 e 08:08 GMT, uma janela de aproximadamente quatro horas e quarenta minutos que desde então se tornou uma dor de cabeça bastante cara para o maior grupo bancário de retalho do Reino Unido.

Em carta ao Comité Selecto do Tesouro, o Lloyds confirmou que até 447.936 clientes foram potencialmente afectados. Desses, 114.182 chegaram de facto a aceder às transacções de outras pessoas, podendo ter visto informações sensíveis, incluindo números de segurança social. Isso não é um pequeno contratempo. É uma violação alarmante da confidencialidade, para usar as palavras da presidente do comité, Dame Meg Hillier.

O Que Correu Mal?

A causa raiz foi uma falha numa API. Quando dois utilizadores acederam à mesma função com fracções de segundo de diferença, o sistema ficou essencialmente confuso sobre a quem pertenciam os dados. O isolamento de contas colapsou, e de repente a sua transacção do café de terça-feira de manhã tornava-se a leitura nocturna de outra pessoa.

Durante a janela do incidente, 1,67 milhões dos 21,5 milhões de utilizadores do aplicativo móvel do Lloyds fizeram login. Apenas as contas correntes foram afectadas, e o banco insiste que nenhum saldo foi comprometido e que nenhum cliente sofreu perdas financeiras. Pequenas mercês, embora se suspeite que as cerca de 114.000 pessoas cujos números de segurança social ficaram expostos possam definir "perda" de forma ligeiramente mais abrangente.

A Compensação Que Mal Paga Uma Rodada

É aqui que as coisas se tornam verdadeiramente surpreendentes. O Lloyds pagou £139.000 em pagamentos de boa vontade, distribuídos por apenas 3.625 clientes. Para quem for buscar a calculadora, isso dá aproximadamente £38,34 por pessoa.

Trinta e oito libras. Por ter os seus dados financeiros pessoais e o número de segurança social expostos a estranhos. Poder-se-ia argumentar que isso mal cobre o sofrimento emocional de descobrir que o seu banco não consegue manter as suas APIs em ordem, muito menos o tempo passado a preocupar-se com fraude de identidade. Se o Lloyds considera o assunto encerrado com pagamentos tão modestos ainda está por ver, mas é seguro dizer que a imagem não é das melhores.

Os Reguladores Estão de Olho

A Autoridade de Conduta Financeira confirmou que está activamente envolvida com o Lloyds Banking Group relativamente ao incidente. Entretanto, o Gabinete do Comissário de Informação está a fazer averiguações, embora o Lloyds tenha notificado o ICO dentro do prazo exigido de 72 horas. A burocracia atempada não desfaz a violação, mas sugere que alguém na área de conformidade estava atento, mesmo que a API não estivesse.

O Comité Selecto do Tesouro também não está a deixar isto desaparecer silenciosamente. Dame Meg Hillier exigiu ao banco relatórios de acompanhamento a um mês e a seis meses, garantindo que o assunto se mantenha na agenda bem até ao outono.

A Perspectiva Mais Ampla

O Lloyds Banking Group serve cerca de 26 milhões de clientes nas suas várias marcas. Quando se tem essa dimensão, um defeito de software não afecta apenas um punhado de contas. Escala de forma espectacular. O facto de uma única alteração nocturna ter conseguido comprometer o isolamento de contas de centenas de milhares de utilizadores levanta questões sérias sobre protocolos de teste e salvaguardas de implementação.

Jasjyot Singh, responsável pelas relações com consumidores do Lloyds, redigiu a carta de desculpas ao comité. Uma desculpa é bem-vinda, mas os clientes estarão atentos para ver se se seguem mudanças significativas ou se isto se torna mais um caso de desculpas-sem-consequências bancárias.

Por agora, se foi afectado, fique de olho nas suas contas e considere se £38,34 lhe parece um reconhecimento adequado de que o seu banco transformou brevemente os seus dados financeiros numa tómbola.

Leia o artigo original em fonte.