Збій у Lloyds Banking розкрив дані майже півмільйона клієнтів, а компенсація викликає сміх

Чотири години хаосу

Якщо ви користувалися послугами Lloyds вранці 12 березня і раптом захотіли зазирнути до чужих фінансів, вам на мить пощастило. Програмний дефект, запроваджений під час нічного оновлення IT-систем, зруйнував ізоляцію акаунтів у мобільному застосунку банку, а отже клієнти могли випадково переглядати транзакції інших людей. Збій тривав з 03:28 до 08:08 за Гринвічем, тобто приблизно чотири години сорок хвилин, і з того часу став доволі дорогим головним болем для найбільшої роздрібної банківської групи Великої Британії.

У листі до Комітету з питань казначейства парламенту Lloyds підтвердив, що потенційно постраждали до 447 936 клієнтів. З них 114 182 особи фактично перейшли до перегляду транзакцій інших людей і потенційно бачили конфіденційні дані, зокрема номери національного страхування. Це не дрібна накладка. Це тривожне порушення конфіденційності, якщо позичити слова голови комітету дами Мег Гіллієр.

Що саме пішло не так?

Першопричиною став збій у API. Коли два користувачі зверталися до однієї функції з різницею в частки секунди, система фактично плуталась у тому, чиї дані кому належать. Ізоляція акаунтів зламалась, і раптово ваша транзакція за ранкову каву у вівторок перетворювалась на нічне читання для когось іншого.

За час інциденту до застосунку увійшли 1,67 мільйона з 21,5 мільйона користувачів мобільного банку Lloyds. Постраждали лише поточні рахунки, і банк наполягає на тому, що залишки на рахунках не були скомпрометовані та жоден клієнт не зазнав фінансових втрат. Невеличка розрада, хоча можна припустити, що ті приблизно 114 000 осіб, чиї номери національного страхування були на виду, визначали б поняття "втрата" дещо ширше.

Компенсація, якої ледве вистачить на каву

Ось де починається справжня розтяжка брів. Lloyds виплатив 139 000 фунтів стерлінгів як жести доброї волі, розподілені лише між 3 625 клієнтами. Для тих, хто тягнеться за калькулятором: це виходить приблизно 38,34 фунта на особу.

Тридцять вісім фунтів. За те, що ваші особисті фінансові дані та номер національного страхування були виставлені напоказ незнайомцям. Можна стверджувати, що цього ледве вистачить на відшкодування емоційного стресу від усвідомлення того, що ваш банк не може тримати свої API в порядку, не кажучи вже про час, витрачений на тривогу через можливе шахрайство з ідентифікаційними даними. Чи вважає Lloyds це питання закритим після таких скромних виплат, залишається побачити, але можна сміливо сказати, що репутаційний образ далеко не блискучий.

Регулятори взяли банк під приціл

Управління з фінансового регулювання та нагляду підтвердило, що активно взаємодіє з Lloyds Banking Group щодо цього інциденту. Тим часом Офіс уповноваженого з інформації проводить розслідування, хоча Lloyds принаймні повідомив ICO у встановлені 72 години. Своєчасне оформлення документів не скасовує факт витоку, але свідчить про те, що хтось у відділі комплаєнсу був уважним, навіть якщо API таким не виявився.

Комітет з питань казначейства також не збирається дозволяти цьому тихо зникнути. Дама Мег Гіллієр зажадала від банку звітів за підсумками одного і шести місяців, що гарантує присутність цієї теми в порядку денному аж до осені.

Ширший контекст

Lloyds Banking Group обслуговує близько 26 мільйонів клієнтів під різними брендами. Коли ви такого масштабу, програмний дефект не зачіпає лише жменьку акаунтів. Він масштабується вражаюче. Той факт, що одне нічне оновлення могло порушити ізоляцію акаунтів для сотень тисяч користувачів, викликає серйозні запитання щодо протоколів тестування та захисних заходів при розгортанні змін.

Джасджот Сінгх, керівник відділу клієнтських відносин Lloyds, підписав лист із вибаченнями до комітету. Вибачення варте уваги, але клієнти пильно стежитимуть за тим, чи підуть за ним реальні зміни, чи це стане черговим прикладом банківського "вибачте-та-забудьте".

Наразі, якщо ви постраждали, стежте за своїми рахунками і подумайте над тим, чи відчуваєте ви, що 38,34 фунта є гідним визнанням того, що ваш банк ненадовго перетворив ваші фінансові дані на лотерею.

Читайте оригінал статті за посиланням.