【安全资讯】劳埃德银行软件更新故障致近50万用户交易信息泄露

概要：

在数字金融时代，银行应用程序的安全与隐私保护是用户信任的基石。然而，劳埃德银行集团近期因一次失败的夜间软件更新，导致其移动应用程序出现严重故障，使近50万客户短暂看到了他人的交易信息。这一事件不仅暴露了金融机构在技术部署过程中的潜在风险，也引发了公众对数字银行服务可靠性的广泛担忧。

主要内容：

此次事件源于3月11日至12日夜间进行的一次IT变更。劳埃德银行集团消费者关系首席执行官Jasjyot Singh在致财政部特别委员会的信中披露，此次更新在负责处理交易数据的API中引入了一个软件缺陷。核心的技术原因在于，更新后的API在处理同时请求时存在漏洞。当两名用户在几分之一秒内几乎同时访问其交易列表时，该缺陷会破坏账户之间的隔离机制。

在3月12日凌晨03:28至08:08期间，登录应用程序的客户有可能看到他人账户活动的片段。尽管用户无法移动资金或访问完整账户，但他们可以看到交易金额、日期、付款参考信息（可能包含个人标识符），甚至通过深入查看个别付款，可能看到分类代码、账号以及交易附带的任何文本，例如国民保险号码或车辆登记详情。

在2150万移动银行用户中，有167万人在受影响时段内登录。银行估计，多达447,936名客户可能接触到了他人的交易列表，而多达114,182名客户可能看到了更详细的付款信息。泄露是双向的：一些客户看到了他人的交易，而另一些客户的详细信息则被短暂展示给陌生人。Singh承认，在某些情况下，可见的交易信息可能涉及非劳埃德银行集团的客户，例如当付款从劳埃德客户账户转至另一家银行的账户持有人时。

劳埃德银行表示，此次暴露时间短暂，不太可能导致欺诈，目前尚无财务损失报告。银行已通知客户删除可能截取的任何屏幕截图或记录，并正在监控是否存在滥用情况。截至目前，银行已向约3,625名客户支付了总计超过13.9万英镑的款项，作为对其困扰和不便的善意补偿。银行已按规定在72小时内向信息专员办公室（ICO）提交了正式通知，并正在审查该缺陷如何逃过了其设计、测试和质量保证流程。