تعترف لويدز بوجود خطأ في الترميز كشف عن معاملات العملاء

يُظهر رد مجموعة Lloyds Banking Group على طلب من لجنة الخزانة التابعة لحكومة المملكة المتحدة أن خطأ في البرمجة كان السبب الجذري للاختراق الذي كشف تفاصيل أكثر من 114000 عميل للخدمات المصرفية عبر الهاتف المحمول.

قال البنك إنه قام بدفع مدفوعات حسن النية يبلغ إجماليها ما يزيد قليلاً عن 139000 جنيه إسترليني إلى حوالي 3625 عميلًا حتى 23 مارس. وقالت إنها قدمت أيضًا إخطارًا رسميًا إلى مكتب مفوض المعلومات في غضون 72 ساعة بعد الانتهاك، بما يتماشى مع الجداول الزمنية القانونية.

وكما ذكرت مجلة Computer Weekly سابقًا، في صباح يوم 12 مارس، حدث خطأ في تطبيق Lloyds المصرفي مما مكّن بعض العملاء من رؤية معاملات العملاء الآخرين. وتأثر عملاء تطبيقات Halifax وBank of Scotland وLloyds Bank التابعة للمجموعة بالاختراق الأمني.

وبينما قام البنك بحل الاختراق بسرعة، أرسل ميج هيلير، رئيس لجنة الخزانة، بريدًا إلكترونيًا إلى الرئيس التنفيذي لمجموعة لويدز المصرفية، تشارلز نان، بعنوان “الكشف غير المناسب عن معلومات حسابات الأفراد”. وفي رسالة البريد الإلكتروني، وصف هيلير الحادث بأنه “انتهاك مثير للقلق لسرية البيانات”.

وتضمنت المعلومات التي طلبتها من رئيس البنك تفاصيل الاختراق، وعدد العملاء المتأثرين، وما إذا كان من الممكن التعرف على العملاء وما هي الخطوات التي اتخذتها مجموعة Lloyds Banking Group لتشجيع أولئك الذين ربما أخذوا نسخًا من البيانات – التي لم يكن من حقهم الحصول عليها – على حذف تلك النسخ.

وقد رد الآن جاسجيوت سينغ، الرئيس التنفيذي لعلاقات المستهلكين في مجموعة لويدز المصرفية، على أسئلة لجنة الخزانة. صرح سينغ أن الحادث نتج عن تغيير في تكنولوجيا المعلومات تم إجراؤه بين عشية وضحاها بين 11 و 12 مارس مما أدى إلى ظهور خلل في البرنامج.

وقال سينغ: “كان الخلل يعني أنه عندما يطلب العميل عرض معاملات حسابه الجاري، فمن المحتمل أن تكون بيانات معاملاته مرئية للعملاء الآخرين الذين كانوا في نفس الوقت – خلال أجزاء صغيرة من الثانية – يطلبون الوصول إلى معاملاتهم الخاصة”.

أثبت البنك الآن أن الخلل كان في تصميم الكود المستخدم لتحديث واجهة برمجة التطبيقات (API) التي يستخدمها التطبيق. وقال سينغ إن البنك يقوم بمراجعة سبب عدم اكتشاف هذا العيب الفردي من خلال عمليات التصميم وضمان الجودة والاختبار.

وفقًا لسينغ، ربما تم تقديم معاملات لأشخاص آخرين بحد أقصى 447,936 عميلًا ممن شاهدوا قائمة معاملاتهم خلال الفترة الزمنية المتأثرة، أو ربما تم تقديم بعض معاملاتهم في قائمة معاملات عميل آخر. قدّر البنك أن 114,182 عميلاً قاموا بالنقر لعرض التفاصيل وراء معاملات الحساب الجاري الفردية خلال تلك الفترة وربما تم تقديم معلومات حول المدفوعات الفردية.

وأكد سينغ للجنة الخزانة أن عمليات الاحتيال والمراقبة الإلكترونية التي يقوم بها البنك لم تشهد أي دليل على سوء الاستخدام أو النشاط الضار نتيجة للحادث. وجاء في الرسالة: “بناءً على تقييمنا لهذا الحادث، لم نحدد دليلاً على أن العملاء تكبدوا خسارة مالية، ولم يبلغ أي عميل عن خسارة مالية ناجمة عن الحادث في هذه المرحلة. وبناء على ذلك، لم نقم بدفع تعويضات على هذا الأساس”.