3月12日凌晨3点28分,英国最大的零售银行之一正在经历一场无声的混乱。21.5万手机银行用户中,有1.67万人像往常一样打开App查账——但他们看到的不是自己的消费记录,而是陌生人的。
这个窗口期持续了4小时40分钟。直到上午8点08分,劳埃德银行集团(Lloyds Banking Group)的技术团队才掐断这场"数据串门"。事后统计,最多44.79万人可能被卷入,其中11.4万人甚至看到了完整的收款账户、备注文字,包括国民保险号、车牌号这类敏感信息。
一个API缺陷如何制造"平行宇宙"
问题出在一行代码的疏忽。劳埃德银行消费者关系CEO Jasjyot Singh在给英国财政部委员会的信中解释:3月11日夜间推送的软件更新,在应用程序接口(API,即不同软件系统之间的通信协议)中埋入了缺陷。当两个用户几乎同时点击"交易明细"时,系统会把A的数据包错发给B。
这有点像餐厅叫号系统出了bug——两位顾客同时伸手取餐,服务员把两份餐盘标签贴混了。区别在于,这里交换的是账户后四位、转账金额、付款备注,甚至"房租-2024年3月"这种私人标签。
Singh承认了一个更棘手的细节:部分泄露信息甚至不属于劳埃德客户。当你从劳埃德账户转账给汇丰或巴克莱的收款人时,对方的名字和账户信息也可能被"搭便车"展示给陌生人。
银行的话术与用户的实际损失
劳埃德的危机公关话术很标准:没有资金损失、无法操作他人账户、已通知监管机构、72小时内向信息专员办公室(ICO)报备。截至目前,约3625人拿到了总计13.9万英镑的"善意补偿"——注意措辞,是goodwill而非compensation,意思是"精神安慰费"而非"损失赔偿"。
但用户真正担心的是什么?一位受影响客户在社交媒体上的质问被多家英媒引用:「我怎么知道谁看到了我的数据?银行让我删除截图,但看到的人不是我。」
这种无力感源于信息不对等。劳埃德说"监控滥用行为",却没解释如何监控;说"不太可能引发欺诈",但交易备注里的车牌号、国民保险号本身就是精准诈骗的素材。英国信息专员办公室已介入调查,最终罚款可能参照2018年英国航空的2000万英镑数据泄露案——尽管那次是黑客攻击,这次是自家更新翻车。
测试流程的"瑞士奶酪"是怎么对齐的
劳埃德银行承诺审查设计、测试、质控三环节为何集体失效。这让人想起航空业的事故分析模型:每片奶酪都有孔,灾难发生在所有孔洞对齐的瞬间。
API并发处理本是基础工程问题。两个请求同时到达时,系统需要给每个会话打上独立标签,确保数据包"对号入座"。劳埃德的更新显然动了这部分逻辑,但夜间灰度发布(即分批次上线)没能拦截缺陷——可能是测试环境没模拟高并发场景,也可能是回滚机制响应太慢。
更深层的问题是银行IT的"技术债"。劳埃德由劳埃德银行、哈利法克斯、苏格兰银行三家品牌共用一套核心系统,服务2100万数字用户。这种规模下,任何微小变更都像在飞行中换引擎。2023年汇丰银行曾因类似更新导致数千人无法转账,2024年1月桑坦德银行的支付系统瘫痪数小时——英国银行业的"凌晨更新"似乎成了周期性踩坑。
Singh在信中强调"暴露时间短暂",但44万人的"短暂"是4小时40分钟。对于习惯实时查账的用户,这足够完成几十次登录、截图、转发。
劳埃德银行集团2023年净利润58亿英镑,13.9万英镑的善意补偿约占其日利润的0.7%。如果ICO最终开出千万级罚单,或者集体诉讼启动,这笔账才会真正刺痛管理层。而用户真正想问的或许是:下一次更新,我能不能选择推迟24小时?
热门跟贴