ÚLTIMA HORA: A Palavra “Glitch” Está a Fazer o Maior Trabalho no Setor Bancário Britânico Hoje Esta manhã, clientes do Lloyds, Halifax e Bank of Scotland abriram as suas aplicações bancárias e encontraram-se a encarar as vidas financeiras completas de estranhos totais. Históricos de transações. Números de conta. Códigos de classificação. Números de Seguro Nacional. Pagamentos de benefícios do DWP. Salários ingleses a aparecerem em contas escocesas. Contas de pub em Newcastle a aparecer no País de Gales. Um cliente do Bank of Scotland passou por seis detalhes completos de contas de diferentes pessoas em vinte minutos, cada atualização servindo a nova identidade financeira de um estranho como uma máquina de slots de dados pessoais. Os bancos chamaram-lhe um “glitch técnico” e disseram aos clientes para não se preocuparem. A resposta oficial do Halifax no X foi sugerir que se desconectassem e voltassem a entrar. O Lloyds pediu aos utilizadores para “terem paciência.” O Bank of Scotland disse que estavam “a investigar.” Deixe-me traduzir isto de eufemismos institucionais para uma linguagem simples. Um grupo bancário que serve mais de 26 milhões de clientes teve uma falha no backend que serviu dados financeiros autenticados, incluindo números de identidade emitidos pelo governo, a sessões aleatórias. Em qualquer jurisdição com uma aplicação eficaz da proteção de dados, isto não é um glitch. Isto é um evento de exposição de dados reportável sob o UK GDPR. O Escritório do Comissário de Informação exige notificação dentro de 72 horas de qualquer violação envolvendo dados pessoais que represente um risco para os direitos dos indivíduos. Os números de Seguro Nacional são a chave mestra para fraudes de identidade na Grã-Bretanha. Eles desbloqueiam registos fiscais, pedidos de benefícios, aplicações de crédito e acesso a pensões. Cada número de NI que apareceu na tela de um estranho esta manhã é agora uma credencial comprometida, independentemente de o erro de exibição ter sido “rapidamente resolvido.” O precedente é instrutivo. Em abril de 2018, o TSB sofreu uma falha semelhante durante uma migração de TI da mesma infraestrutura parental. Sistemas do Lloyds Banking Group. Os clientes podiam ver contas de outras pessoas, acessar fundos que não eram deles e ficaram bloqueados durante meses. A FCA e a PRA multaram o TSB em £48,65 milhões. Mais de 225.000 queixas foram apresentadas. £32,7 milhões em compensação foram pagos. O CEO foi forçado a sair. E essa falha originou-se numa migração planeada com parâmetros de risco conhecidos. O incidente desta manhã no Lloyds Banking Group não foi uma migração planeada. Foi uma falha espontânea em sistemas de produção que distribuiu aleatoriamente identidades financeiras ao vivo a sessões autenticadas, mas não relacionadas. O fato de ter sido breve não reduz a gravidade. Aumenta-a. Uma migração planeada que corre mal revela má execução. Um sistema de produção que começa espontaneamente a servir dados de clientes aleatórios a sessões aleatórias revela algo sobre a arquitetura subjacente que nenhuma quantidade de “rapidamente resolvido” pode abordar. Cada cliente que viu o número de NI de um estranho esta manhã recebeu prova de que a promessa de verificação que sustenta a banca digital, a promessa de que a autenticação equivale a isolamento, falhou silenciosamente e completamente. Os bancos dizem que a sua conta está segura. O que eles querem dizer é que o erro de exibição foi corrigido. Estas não são a mesma afirmação. A questão não é se foi corrigido. A questão é se alguém fez capturas de tela durante aqueles vinte minutos. E se o ICO e a FCA tratarão isto como o que realmente é.