速報:「グリッチ」という言葉が、今日の英国銀行業界で最も大きな役割を果たしています 今朝、ロイズ、ハリファックス、バンク・オブ・スコットランドの顧客が銀行アプリを開き、全くの他人の財務生活の全てを目の当たりにしました。取引履歴。口座番号。コードを並べ替えましょう。国民保険の番号。DWP給付金。スコットランドの会計にイングランドの賃金が現れる。ニューカッスルのパブのタブがウェールズに現れる。あるスコットランド銀行の顧客は、20分間で6人の異なる口座詳細を切り替え、そのたびに新しい見知らぬ人の金融情報が、まるでスロットマシンのように個人情報を伝えました。 銀行はこれを「技術的な不具合」と呼び、顧客に心配しなくていいと伝えました。ハリファックスの公式な対応は、ログアウトして再ログインすることを提案するものでした。ロイズはユーザーに「我慢してほしい」と呼びかけました。スコットランド銀行は「調査中」と述べました。 これを制度的な婉曲表現から平易な言葉に翻訳させてください。2,600万人以上の顧客にサービスを提供する銀行グループが、政府発行のID番号を含む認証済み金融データがランダムなセッションに送信されるバックエンド障害が発生しました。機能しているデータ保護の執行がある管轄区域では、これは単なる不具合ではありません。これは英国GDPRに基づく報告対象のデータ曝露イベントです。情報コミッショナー事務所は、個人の権利にリスクをもたらす個人データの侵害があった場合、72時間以内に通知を求めています。国民保険番号は、英国における身分詐称の骨格です。税務記録、給付請求、クレジット申請、年金アクセスのロックを解除します。今朝見知らぬ人の画面に表示されたすべてのNI番号は、表示バグが「迅速に解決された」かどうかに関わらず、今やすべての情報が侵害された認証情報となっています。 この先例は示唆に富んでいます。2018年4月、TSBも同じ親インフラからのIT移行中に同様の障害が発生しました。ロイズ銀行グループのシステム。顧客は他人の口座を見たり、自分のものでない資金にアクセスしたり、数ヶ月間ロックアウトされていました。FCAとPRAはTSBに4,865万ポンドの罰金を科しました。22万5千件以上の苦情が提出されました。救済金として3,270万ポンドが支払われました。CEOは追い出されました。そしてその失敗は、既知のリスクパラメータを持つ計画的な移住に起因しています。 今朝のロイズ銀行グループでの事件は計画された移住ではありませんでした。これは本番システムにおける自発的な失敗で、認証済みだが無関係なセッションにライブの金融IDをランダムに配布していたのです。短期間だったからといって、その重さは和らぎません。それが増えるのです。計画された移住が失敗すれば、実行の不備が明らかになります。本番環境がランダムにランダムな顧客データをランダムなセッションに提供し始めると、基盤となるアーキテクチャの何かが明らかになり、「迅速に解決される」だけでは解決できません。 今朝、見知らぬ人の国民保険番号を見たすべての顧客は、デジタルバンキングの根底にある認証約束、すなわち認証が隔離を意味するという約束が、静かに完全に失敗した証拠を受け取った。銀行はあなたの口座は安全だと言っています。彼らが言いたいのは、表示エラーが修正されたということです。これらは同じ発言ではありません。問題はそれが修正されたかどうかではありません。問題は、その20分間の間に誰かがスクリーンショットを撮ったかどうかです。そして、ICOやFCAがこれをそのまま扱うかどうかも問題です。