BREAKING: Das Wort „Glitch“ leistet heute im britischen Bankwesen die schwerste Arbeit Heute Morgen öffneten Kunden von Lloyds, Halifax und der Bank of Scotland ihre Banking-Apps und fanden sich mit den kompletten finanziellen Lebensläufen totaler Fremder konfrontiert. Transaktionshistorien. Kontonummern. Sortiercodes. National Insurance-Nummern. DWP-Leistungen. Englische Löhne, die auf schottischen Konten erscheinen. Pub-Rechnungen in Newcastle, die in Wales auftauchen. Ein Kunde der Bank of Scotland durchblätterte in zwanzig Minuten die vollständigen Kontodaten von sechs verschiedenen Personen, wobei jedes Aktualisieren die finanziellen Identitäten neuer Fremder wie ein Spielautomaten persönlicher Daten servierte. Die Banken bezeichneten es als „technischen Glitch“ und sagten den Kunden, sie sollten sich keine Sorgen machen. Die offizielle Antwort von Halifax auf X war, sich auszuloggen und wieder einzuloggen. Lloyds bat die Nutzer, „mit ihnen Geduld zu haben“. Die Bank of Scotland sagte, sie würden „untersuchen“. Lassen Sie mich das von institutioneller Euphemismus in einfache Sprache übersetzen. Eine Bankengruppe, die über 26 Millionen Kunden bedient, hatte einen Backend-Ausfall, der authentifizierte Finanzdaten, einschließlich staatlich ausgegebener Identitätsnummern, an zufällige Sitzungen ausgab. In jeder Gerichtsbarkeit mit funktionierender Datenschutzdurchsetzung ist dies kein Glitch. Dies ist ein meldepflichtiges Datenexpositionsereignis gemäß UK GDPR. Das Informationskommissariat verlangt eine Benachrichtigung innerhalb von 72 Stunden nach einem Verstoß, der persönliche Daten betrifft, die ein Risiko für die Rechte von Einzelpersonen darstellen. National Insurance-Nummern sind der Generalschlüssel für Identitätsbetrug in Großbritannien. Sie öffnen Steuerunterlagen, Leistungsanträge, Kreditanträge und Rentenzugänge. Jede einzelne NI-Nummer, die heute Morgen auf dem Bildschirm eines Fremden erschien, ist jetzt ein kompromittiertes Credential, unabhängig davon, ob der Anzeige-Fehler „schnell behoben“ wurde. Der Präzedenzfall ist lehrreich. Im April 2018 erlitt TSB während einer IT-Migration von derselben Mutterinfrastruktur einen ähnlichen Ausfall. Die Systeme der Lloyds Banking Group. Kunden konnten die Konten anderer Personen sehen, auf Gelder zugreifen, die nicht ihnen gehörten, und waren monatelang ausgesperrt. Die FCA und PRA verhängten eine Geldstrafe von 48,65 Millionen Pfund gegen TSB. Über 225.000 Beschwerden wurden eingereicht. 32,7 Millionen Pfund an Entschädigungen wurden gezahlt. Der CEO wurde zum Rücktritt gezwungen. Und dieser Ausfall entstand aus einer geplanten Migration mit bekannten Risikoparametern. Der Vorfall heute Morgen bei der Lloyds Banking Group war keine geplante Migration. Es war ein spontaner Ausfall in Produktionssystemen, der zufällig lebende finanzielle Identitäten an authentifizierte, aber nicht verwandte Sitzungen verteilte. Die Tatsache, dass es kurz war, mindert nicht die Schwere. Sie erhöht sie. Eine geplante Migration, die schiefgeht, zeigt schlechte Ausführung. Ein Produktionssystem, das spontan beginnt, zufällige Kundendaten an zufällige Sitzungen auszugeben, offenbart etwas über die zugrunde liegende Architektur, das kein „schnell behoben“ ansprechen kann. Jeder Kunde, der heute Morgen die NI-Nummer eines Fremden sah, erhielt den Beweis, dass das Verifizierungsversprechen, das dem digitalen Banking zugrunde liegt, das Versprechen, dass Authentifizierung Isolation bedeutet, still und vollständig gescheitert ist. Die Banken sagen, Ihr Konto sei sicher. Was sie meinen, ist, dass der Anzeige-Fehler behoben wurde. Diese Aussagen sind nicht dasselbe. Die Frage ist nicht, ob es behoben wurde. Die Frage ist, ob jemand während dieser zwanzig Minuten Screenshots gemacht hat. Und ob das ICO und die FCA dies als das behandeln werden, was es ist.