Сбой в Lloyds Banking раскрыл данные почти полумиллиона клиентов, а компенсация вызывает смех

Четыре часа хаоса

Если вы пользовались услугами Lloyds утром 12 марта и случайно заглянули в чужие финансы, вам ненадолго повезло. Программный сбой, возникший в ходе ночного обновления IT-систем, нарушил изоляцию аккаунтов в мобильном приложении банка: клиенты могли случайно видеть чужие транзакции. Неисправность действовала с 03:28 до 08:08 по GMT, то есть около четырёх часов сорока минут, и с тех пор превратилась в весьма дорогостоящую головную боль для крупнейшей розничной банковской группы Великобритании.

В письме Комитету казначейства Lloyds подтвердил, что потенциально пострадали до 447 936 клиентов. Из них 114 182 человека действительно переходили к просмотру чужих транзакций и могли видеть конфиденциальные данные, включая номера национального страхования. Это не мелкая неурядица. Это тревожное нарушение конфиденциальности, если воспользоваться словами председателя комитета дамы Мэг Хиллиер.

Что именно пошло не так?

Причиной стала ошибка в API. Когда два пользователя обращались к одной функции с разницей в доли секунды, система, по сути, путалась в том, чьи данные кому принадлежат. Изоляция аккаунтов рушилась, и ваша утренняя транзакция за кофе во вторник становилась чтивом для постороннего человека.

За время инцидента в мобильное приложение вошли 1,67 миллиона из 21,5 миллиона его пользователей. Затронуты были только текущие счета, и банк настаивает на том, что никакие балансы не были скомпрометированы, а клиенты не понесли финансовых потерь. Маленькое утешение, хотя те примерно 114 000 человек, чьи номера национального страхования оказались на виду, вероятно, трактуют понятие "потери" несколько шире.

Компенсация, которой едва хватит на пинту

Вот здесь начинается по-настоящему удивительное. Lloyds выплатил 139 000 фунтов стерлингов в качестве жестов доброй воли, разделённых всего между 3 625 клиентами. Если взять калькулятор, получится примерно 38,34 фунта на человека.

Тридцать восемь фунтов. За то, что ваши личные финансовые данные и номер национального страхования стали доступны посторонним. Можно возразить, что это едва покрывает душевные волнения от осознания того, что ваш банк не в состоянии удержать API в порядке, не говоря уже о времени, потраченном на беспокойство о мошенничестве с персональными данными. Считает ли Lloyds вопрос закрытым при столь скромных выплатах — покажет время, но скажем прямо: имиджевая картина выглядит не лучшим образом.

Регуляторы не дремлют

Управление по финансовому регулированию и надзору подтвердило, что активно взаимодействует с Lloyds Banking Group по данному инциденту. Тем временем Управление комиссара по информации проводит расследование, хотя Lloyds всё же уведомил ICO в обязательный 72-часовой срок. Оперативное оформление документов не отменяет самого нарушения, однако свидетельствует о том, что кто-то в службе комплаенса не терял бдительности, даже когда API её потерял.

Комитет казначейства тоже не намерен спускать это дело на тормозах. Дама Мэг Хиллиер потребовала от банка отчётов через один месяц и через шесть месяцев, гарантируя, что тема останется в повестке дня вплоть до осени.

Общая картина

Lloyds Banking Group обслуживает около 26 миллионов клиентов под различными брендами. В таком масштабе программный сбой затрагивает не горстку аккаунтов, а разворачивается с впечатляющим размахом. Тот факт, что одно ночное изменение могло нарушить изоляцию аккаунтов для сотен тысяч пользователей, ставит серьёзные вопросы о протоколах тестирования и защитных механизмах при развёртывании обновлений.

Джасджьот Сингх, директор Lloyds по работе с розничными клиентами, подписал письмо с извинениями в адрес комитета. Извинения приняты, но клиенты будут внимательно наблюдать: последуют ли реальные изменения или это станет очередным примером банковского "прости, не прости".

Пока что, если вы оказались в числе пострадавших, следите за своими счетами и подумайте, достаточным ли признанием вашей проблемы кажутся вам те самые 38,34 фунта за то, что ваш банк ненадолго превратил ваши финансовые данные в лотерею.

Читать оригинальную статью на источнике.