يُظهر رد مجموعة لويدز المصرفية على طلب من لجنة الخزانة التابعة لحكومة المملكة المتحدة أن خطأ في البرمجة كان السبب الجذري للانتهاك الذي كشف تفاصيل أكثر من 114.000 عميل للخدمات المصرفية عبر الهاتف المحمول.
قال البنك إنه قام بدفع مدفوعات حسن النية يبلغ إجماليها ما يزيد قليلاً عن 139000 جنيه إسترليني إلى حوالي 3625 عميلًا حتى 23 مارس. وقالت إنها قدمت أيضًا إخطارًا رسميًا إلى مكتب مفوض المعلومات في غضون 72 ساعة بعد الانتهاك، بما يتماشى مع الجداول الزمنية القانونية.
وكما ذكرت مجلة Computer Weekly سابقًا، في صباح يوم 12 مارس، حدث خطأ في تطبيق Lloyds المصرفي مما مكّن بعض العملاء من رؤية معاملات العملاء الآخرين. وتأثر عملاء تطبيقات Halifax وBank of Scotland وLloyds Bank التابعة للمجموعة بالاختراق الأمني.
وبينما قام البنك بحل الانتهاك بسرعة، ميج هيليرأرسل رئيس لجنة الخزانة رسالة بريد إلكتروني إلى الرئيس التنفيذي لمجموعة لويدز المصرفية، تشارلز نان، بعنوان “الكشف غير المناسب عن معلومات حسابات الأفراد”. وفي رسالة البريد الإلكتروني، وصف هيلير الحادث بأنه “انتهاك مثير للقلق سرية البيانات“.
وتضمنت المعلومات التي طلبتها من رئيس البنك تفاصيل الاختراق، وعدد العملاء المتأثرين، وما إذا كان من الممكن التعرف على العملاء وما هي الخطوات التي اتخذتها مجموعة Lloyds Banking Group لتشجيع أولئك الذين ربما أخذوا نسخًا من البيانات – التي لم يكن من حقهم الحصول عليها – على حذف تلك النسخ.
وقد رد الآن جاسجيوت سينغ، الرئيس التنفيذي لعلاقات المستهلكين في مجموعة لويدز المصرفية، على أسئلة لجنة الخزانة. صرح سينغ أن الحادث نتج عن تغيير في تكنولوجيا المعلومات تم إجراؤه بين عشية وضحاها بين 11 و 12 مارس مما أدى إلى ظهور خلل في البرنامج.
وقال سينغ: “كان الخلل يعني أنه عندما يطلب العميل عرض معاملات حسابه الجاري، فمن المحتمل أن تكون بيانات معاملاته مرئية للعملاء الآخرين الذين كانوا في نفس الوقت – خلال أجزاء صغيرة من الثانية – يطلبون الوصول إلى معاملاتهم الخاصة”.
أثبت البنك الآن أن الخلل كان في تصميم الكود المستخدم لتحديث واجهة برمجة التطبيقات (API) التي يستخدمها التطبيق. وقال سينغ البنك مراجعة سبب هذا الخلل الفردي لم يتم اكتشافها من خلال عمليات التصميم وضمان الجودة والاختبار.
وفقًا لسينغ، ربما تم تقديم معاملات لأشخاص آخرين بحد أقصى 447,936 عميلًا ممن شاهدوا قائمة معاملاتهم خلال الفترة الزمنية المتأثرة، أو ربما تم تقديم بعض معاملاتهم في قائمة معاملات عميل آخر. قدّر البنك أن 114,182 عميلاً قاموا بالنقر لعرض التفاصيل وراء معاملات الحساب الجاري الفردية خلال تلك الفترة وربما تم تقديم معلومات حول المدفوعات الفردية.
وأكد سينغ للجنة الخزانة أن عمليات الاحتيال والمراقبة الإلكترونية التي يقوم بها البنك لم تشهد أي دليل على سوء الاستخدام أو النشاط الضار نتيجة للحادث. وجاء في الرسالة: “بناءً على تقييمنا لهذا الحادث، لم نحدد دليلاً على أن العملاء تكبدوا خسارة مالية، ولم يبلغ أي عميل عن خسارة مالية ناجمة عن الحادث في هذه المرحلة. وبناء على ذلك، لم نقم بدفع تعويضات على هذا الأساس”.
