Absolutes Desaster, was sich am 12. März 2026 bei Banken der britischen Lloyds-Gruppe abspiele. Bankkunden bekamen ihn ihren Banking-Apps bei der Benutzeranmeldung plötzlich fremde Bankkonten zu sehen. Der Betreiber hat den Vorfall inzwischen eingestanden.
Banking-Fehler zeigt fremde Konten
Am gestrigen 12. März 2026 konnten "einige" Kunden der britischen Lloyds-Banken eine unschöne Erfahrung machen. Nach dem Login in der Banking-App bekamen sie statt des eigenen Kontos plötzlich die Konteninhalte fremder Personen angezeigt.
Mir ist obiger Tweet auf X untergekommen, wo jemand sich bei der Llodys-Bank beklagt, dass ihm nach der Anmeldung am Bankkonto in der App fremde Transaktionen angezeigt wurden. Er versuchte einen andere Browser, schaute sich die Kontenstände an, und ging dann wieder zum eigenen Konto zurück. Da war aber die Anzeige wieder korrekt – das Problem scheint nur kurzzeitig bestanden zu haben. Mr. David Carter gibt aber an, dass er einen "Schnappschuss" (wohl des Bildschirminhalts) zum Nachweis angefertigt habe.
Die Bank bestätigt den Vorfall
Das Social Media Team von Lloyds antwortete dann, dass man bereits wisse, dass einige Kunden Probleme hätten, Transaktionen und Kontostände korrekt angezeigt zu bekommen. Kurze Zeit später bestätigte Lloyds in einer Antwort auf einen weiteren Post auf X, dass einige Kunden von einer kurzzeitigen Störung beim Online-Banking betroffen waren.
Angeblich nur wenige Kunden betroffen
Es heißt dort, dass das Problem nur einige Konten betraf, schnell identifiziert und auch behoben wurde. In obigem Tweet kritisiert ein Nutzer, dass Lloyds das nicht im eigenen X-Konto bekannt gegeben habe.
Der offizielle Kanal der Lloyds-Bank auf X hat erst zum heutigen 23. März 2026 die obige kurze Erklärung zum Vorfall gepostet.
Schönsprech und veritabler Datenschutz-Vorfall
Das Ganze hat natürlich Wellen in Großbritannien geschlagen. Nachfolgender Post, der mir gestern kurz untergekommen ist, gibt an, dass Kunden von Lloyds, Halifax und Bank of Scotland bei Zugriff auf ihre Online-Banking-Apps betroffen waren.
Der obige Tweet hat noch einige Informationen zusammen getragen und schreibt, dass Kunden von Lloyds, Halifax und der Bank of Scotland in ihrer Banking-Apps sich plötzlich mit den vollständigen Finanzdaten völlig fremder Personen konfrontiert sahen.
Einsehbar waren die Transaktions-Historie, die Kontonummern, die Bankleitzahlen und die Sozialversicherungsnummern. Aber die Leute konnten auch sehen, was sonst auf den Konten passierte, und ob der Konteninhaber beispielsweise Sozialleistungen/Renten des Department for Work and Pensions (DWP) bezieht. Der Tweet-Ersteller schreibt, dass "englische Löhne" auf schottischen Konten erschienen, oder Kneipenrechnungen aus Newcastle in Wales auftauchten – scheint für die Engländern ein Problem zu sein.
Der Tweet erwähnt, dass ein Kunde der Bank of Scotland in zwanzig Minuten die vollständigen Kontodaten von sechs verschiedenen Personen zu sehen bekam, wobei jede Aktualisierung die Finanzdaten eines neuen Fremden mit persönlichen Daten anzeigte. Golem hat hier noch einige weitere Infosplitter dazu zusammen getragen.
Kritik an der Kommunikation der Banken
Der Poster kritisiert, dass die Banken dies als "technischen Fehler" bezeichneten und die Kunden aufforderten, sich keine Sorgen zu machen. Die offizielle Antwort von Halifax auf X lautete, sich aus- und wieder einzuloggen. Lloyds bat die Nutzer um "Geduld". Die Bank of Scotland erklärte, sie würde "Untersuchungen durchführen".
Die Konsequenzen des Vorfalls
Der Tweet-Ersteller stellt klar, dass die Ausführungen der Banken "Nebelkerzen" gewesen seien. Eine Bankengruppe mit über 26 Millionen Kunden habe einen Backend-Ausfall erlitten, durch den authentifizierte Finanzdaten, darunter von der Regierung ausgestellte Identitätsnummern, an zufällige Online-Sitzungen weitergegeben wurden. Das sei kein "einfacher technischer Fehler", nach dem man zur Tagesordnung übergehen könne.
In jedem Land mit funktionierendem und durchsetzbaren Datenschutz sei dies kein Fehler, sondern ein meldepflichtiges Datenleck gemäß den britischen Datenschutzgesetzen. Das Information Commissioner's Office verlange, dass jede Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte von Personen darstellt, innerhalb von 72 Stunden gemeldet wird.
Es wird noch auf etwas anderes hingewiesen: Sozialversicherungsnummern sind der Generalschlüssel für Identitätsbetrug in Großbritannien. Sie ermöglichen den Zugriff auf Steuerunterlagen, Sozialleistungsanträge, Kreditanträge und Rentenansprüche. Jede einzelne Sozialversicherungsnummer, die bei diesem Vorfall in der App eines Fremden erschien, ist nun als eine kompromittierte Zugangsberechtigung anzusehen, unabhängig davon, ob der Anzeigefehler "schnell behoben" wurde.
Damit sind wir wieder beim Fall: Wir sammeln zentral Daten, weisen jedem eine persönliche ID zu und verknüpfen diese mit dem digitalen Leben der Person. Das hat viele Vorteile, und was soll schon passieren? Die Daten sind bei renommierten Unternehmen mit höchsten Sicherheitsstandards bestens aufgehoben. Der obige "Glitch" ist wohl inzwischen der "Normalfall", wie die nachfolgenden Artikellinks belegen.
Ähnliche Artikel
Omada-Cloud von TP-Link zeigt Nutzer fremden Tenant
Frage: Zeigt Exchange Online fremde Adresslisten (GAL)?
Datenleck bei Lufthansa Miles&More-Konten?
MVP: 2013 – 2016
Der nächste "Black Thursday" ist eh nicht mehr weit entfernt, dann sind alle Konten leer und das mit dem Datenschutz spielt auch keine Rolle mehr.
https://ibb.co/W4qWQ5sk