英国の小売・商業金融サービスの大手ロイズ・バンキング・グループは、約45万人のモバイルバンキングユーザーに影響を与えるデータセキュリティインシデントを開示しました。
このインシデントは3月12日に発生し、不具合のあるソフトウェアアップデートにより、あるユーザーの当座預金口座の取引詳細が他のユーザーに露出してしまいました。
ただしロイズによると、取引が露出したのは、ユーザーが同時に取引リストにアクセスしていた場合のみです。
「別人の取引を見たり、自分の取引が他の顧客に見られたりするためには、顧客が自分の取引リストにアクセスする際に、別の顧客がまったく同じタイミング(数分の一秒以内)で取引リストにアクセスしていなければなりませんでした」と、ロイズは英国の財務委員会に述べたのです。
ロイズによれば、不具合のあるアップデートは3月12日の03時28分にロールアウトされ、問題は08時08分に解決されました。その後、この問題は発生していません。
このインシデントで露出したデータの種類は、ユーザーが実施したアクションによって異なります。取引リストにアクセスしたユーザーは、金額、日付、国家保険番号を含む可能性のある支払い識別子など、他のユーザーの取引情報を見ることができました。
個別の取引をクリックしたユーザーは、銀行ソートコード、口座番号、国家保険番号または自動車登録番号、参照フィールドに入力されたテキストなどの情報を見ることができた可能性があります。
「場合によっては、表示された取引情報は、ロイズ・バンキング・グループの顧客ではない個人に関連していた可能性があります。例えば、ロイズ・バンキング・グループの顧客口座から別の銀行の口座保有者への送金が行われた場合などです」とロイズは述べました。
この銀行大手は、ユーザーの残高はこのインシデントの影響を受けず、「顧客は他者の口座で権限のないアクションを実行したり、資金を移動させたりすることはできなかった」と指摘しています。
「問題を経験した顧客は一瞬の間、他者のデータを見ることができ、表示された情報だけでは個人の銀行口座に対する詐欺を実行するには不十分でしょう。当社の評価では、潜在的に見られた情報がより広い詐欺活動の実行に使用される可能性は非常に低いと考えられます」とロイズは述べています。
この銀行大手は、2,150万人のモバイルバンキングユーザーのうち167万人がインシデント発生中にログインしたが、実際に他のユーザーの取引が表示されたか、自分の取引が他者に表示された顧客は447,936人のみであったと財務委員会に告げました。
「その時間帯に個別の当座預金取引の詳細を見るためにクリックした可能性のある顧客は最大114,182人であり、個別送金に関する情報が提示された可能性があります」と述べています。
ロイズはまた、ソーシャルメディアを通じて顧客にインシデントを通知し、「苦痛と不便に対する誠意を込めた補償金」として、約3,625人の顧客に約139,000ポンド(約183,600米ドル)を支払ったことも明かしています。
翻訳元: https://www.securityweek.com/lloyds-data-security-incident-impacts-450000-individuals/
