BREAKING: Het woord “Glitch” doet vandaag het zwaarste werk in de Britse banksector Vanmorgen openden klanten van Lloyds, Halifax en Bank of Scotland hun bankapps en keken ze naar de volledige financiële levens van totaal onbekenden. Transactiegeschiedenissen. Rekennummers. Sortcodes. Nationale verzekeringsnummers. DWP-uitkeringen. Engelse lonen die op Schotse rekeningen verschijnen. Pub-rekeningen in Newcastle die in Wales opduiken. Een klant van Bank of Scotland doorliep in twintig minuten de volledige accountgegevens van zes verschillende mensen, waarbij elke verversing de financiële identiteit van een nieuwe onbekende serveerde als een gokkast van persoonlijke gegevens. De banken noemden het een “technische glitch” en vertelden klanten zich geen zorgen te maken. De officiële reactie van Halifax op X was om aan te raden uit te loggen en weer in te loggen. Lloyds vroeg gebruikers om “geduld te hebben.” Bank of Scotland zei dat ze “onderzochten.” Laat me dit vertalen van institutionele eufemismen naar gewone taal. Een bankgroep die meer dan 26 miljoen klanten bedient, had een backend-fout die geauthenticeerde financiële gegevens, inclusief door de overheid uitgegeven identiteitsnummers, aan willekeurige sessies verstrekte. In elke jurisdictie met functionerende handhaving van gegevensbescherming is dit geen glitch. Dit is een meldingsplichtige gegevensblootstellingsgebeurtenis onder de UK GDPR. Het Information Commissioner’s Office vereist melding binnen 72 uur van elke inbreuk die persoonlijke gegevens betreft en een risico voor de rechten van individuen met zich meebrengt. Nationale verzekeringsnummers zijn de sleutel tot identiteitsfraude in Groot-Brittannië. Ze ontsluiten belastingrecords, uitkeringsclaims, kredietaanvragen en pensioenaccess. Elk enkel NI-nummer dat vanmorgen op het scherm van een onbekende verscheen, is nu een gecompromitteerde referentie, ongeacht of de weergavefout "snel is opgelost." Het precedent is leerzaam. In april 2018 leed TSB een soortgelijke fout tijdens een IT-migratie van dezelfde moederinfrastructuur. De systemen van Lloyds Banking Group. Klanten konden de rekeningen van andere mensen zien, toegang krijgen tot fondsen die niet van hen waren, en waren maandenlang buitengesloten. De FCA en PRA beboeten TSB met £48,65 miljoen. Meer dan 225.000 klachten werden ingediend. £32,7 miljoen aan schadevergoeding werd betaald. De CEO werd gedwongen om te vertrekken. En die fout ontstond tijdens een geplande migratie met bekende risicoparameters. Het voorval van vanmorgen bij Lloyds Banking Group was geen geplande migratie. Het was een spontane fout in productiesystemen die willekeurig live financiële identiteiten verspreidde naar geauthenticeerde maar niet-gerelateerde sessies. Het feit dat het kort was, vermindert de ernst niet. Het vergroot het. Een geplande migratie die misgaat, onthult slechte uitvoering. Een productiesysteem dat spontaan willekeurige klantgegevens aan willekeurige sessies begint te serveren, onthult iets over de onderliggende architectuur dat geen enkele hoeveelheid “snel opgelost” kan verhelpen. Elke klant die vanmorgen een NI-nummer van een onbekende zag, ontving bewijs dat de verificatiebelofte die ten grondslag ligt aan digitale bankieren, de belofte dat authenticatie gelijkstaat aan isolatie, stilzwijgend en volledig is mislukt. De banken zeggen dat je account veilig is. Wat ze bedoelen is dat de weergavefout is gecorrigeerd. Dit zijn niet dezelfde uitspraken. De vraag is niet of het is opgelost. De vraag is of iemand screenshots heeft gemaakt tijdens die twintig minuten. En of de ICO en FCA dit zullen behandelen als wat het is.