劳埃德银行系统漏洞致近50万客户数据泄露，赔偿金额低得可笑

长达四小时的混乱窗口

如果你在3月12日上午使用劳埃德银行服务，碰巧想窥探他人的财务状况，那你短暂地"如愿以偿"了。银行在一次夜间IT更新中引入了一个软件缺陷，破坏了手机应用程序中的账户隔离机制，导致客户可能意外看到他人的交易数据。此次故障发生于格林威治时间03:28至08:08，历时约四小时四十分钟，已成为这家英国最大零售银行集团代价不菲的麻烦。

在致财政部特别委员会的一封信中，劳埃德证实，受影响客户最多达447,936人。其中，114,182人实际点击查看了他人的交易记录，可能看到了包括国民保险号码在内的敏感信息。这绝非小问题，借用委员会主席梅格·希利尔女爵士的话来说，这是令人震惊的保密性漏洞。

究竟哪里出了问题？

根本原因在于一个API缺陷。当两名用户在几分之一秒内访问同一功能时，系统对数据归属产生了混乱。账户隔离随即失效，你周二早上的咖啡消费记录突然成了别人的"睡前读物"。

在事故发生期间，劳埃德2150万手机应用用户中有167万人登录了账户。仅活期账户受到影响，银行坚称没有账户余额遭到泄露，也没有客户蒙受财务损失。聊胜于无，尽管那约11.4万个国民保险号码被公开展示的人，或许对"损失"有着更为宽泛的定义。

那点赔偿连一顿饭都不够

接下来才是真正令人瞠目结舌的部分。劳埃德共支付了139,000英镑的善意赔偿，仅分配给3,625名客户。掰手指算一下，平均每人约38.34英镑。

三十八英镑。就因为你的个人财务数据和国民保险号码被陌生人看到了。这点钱勉强能弥补你得知银行连API都管不好所带来的精神损耗，更别提还要花时间担心身份欺诈的风险。劳埃德是否认为如此微薄的赔偿就能了结此事，还有待观察，但可以肯定的是，这样的形象实在难看。

监管机构已在紧盯

金融行为监管局已确认正就此事件与劳埃德银行集团积极沟通。与此同时，信息专员办公室正在展开调查，不过劳埃德至少在规定的72小时内向ICO进行了通报。及时填报文件并不能弥补漏洞本身，但这至少说明合规部门有人在尽职，尽管那个API并没有。

财政部特别委员会也不打算让此事就此平息。梅格·希利尔女爵士已要求银行提交一个月及六个月的后续报告，确保这一问题在秋季前持续受到关注。

更宏观的视角

劳埃德银行集团旗下各品牌共服务约2600万客户。体量如此庞大，一个软件缺陷的影响就不只是少数账户的问题了，其规模效应相当惊人。一次夜间更新就能破坏数十万用户的账户隔离，这对测试流程和部署保障机制提出了严重质疑。

劳埃德消费者关系负责人贾斯约特·辛格起草了致委员会的道歉信。道歉固然值得肯定，但客户将密切关注，看银行究竟会带来实质性的改变，还是又一次"嘴上道歉、实际照旧"的表演。

目前，如果你受到了此次事件的影响，请密切关注你的账户，同时想一想，38.34英镑，是否真的能代表你的银行对那段数据泄露时光的足够认可。

阅读原文请访问 来源。